注册
登录
| 关键词: 凭证 SHA Chrome 2016 本机 错误 网站 certificate Google 签章 |
2015年进入尾声,Google再次提醒Chrome将自2016年1月1日起分阶段停止支援SHA-1凭证的计画,并将在2017年1月1日起、甚至可能更早完全弃守SHA- 1凭证。 SHA-1是一种加密演算法,可用于产生160-bit的杂凑值。然而在运算技术提升及服务普及的趋势下,骇客破解SHA-1的成本大为降低。例如新加坡南阳科技大学、法国Inria大学的研究显示,租用Amazon EC2云端运算服务几个月的时间来破解SHA-1,最新成本已经降到7.5到12万美元之间。 Google其实在去年9月就已宣布SHA-1凭证的两阶段汰换计画。自2016年1月1日起停止支援新的SHA-1凭证,然后从2017年1月1日起,终止支援所有SHA-1凭证。 从明年起,预定一月底正式释出的Chrome 48浏览器造访的网站若其leaf certificate符合三项条件:2016年1月1日以后发出、以SHA-1凭证签发,且连到公有凭证机构( CA),Chrome即会显示凭证错误讯息。 而2016年之后版本的Chrome则会扩大限制范围,凡凭证链包含SHA-1签发的intermediate或leaf certificate,且为2016年1月1日之后签发的intermediate或leaf certificate,连向公有CA的网站,都会显示错误讯息,以协助旧有装置防范SHA-1碰撞攻击(collision attacks)。但连向本机信赖起源( local trust anchors )采用SHA-1凭证的网站则还能使用。 最后,自2017年1月1日起,Chrome将会完全终止支援SHA-1凭证,只要网站凭证链任何一段(不论是连向本机信赖起源或公共CA)包含SHA-1签章,都会被Chrome标示为重大网路错误(不包括以根凭证签发者)。 但Google表示配合日后研究结果,也考虑将日期提早到2016年7月1日,并呼吁网站管理员应尽速汰换SHA-1凭证。 Google还提醒,微软稍早公布自2016年元旦起Windows 7以上作业系统不再信任新的SHA-1凭证签章验证的程式码,由于Chrome尽可能使用主机作业系统的凭证信赖设定, 因此可能提早被Chrome被标示为重大网路错误。 原本Microsoft Edge及Mozilla也都计画从2017年第一天起开始全面封锁SHA-1凭证。不过微软也在上个月宣布考虑将提早到2016年6月。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
