cc 谷歌、Mozilla之后,微软也宣布将于2017年2月14日起正式停止接受SHA-1 TLS证书,将涉及Microsoft Edge和Internet Explorer11浏览器。与此同时另一大浏览器提供商Mozilla也表示,Firefox将在今年春天完全取消对SHA-1证书的支持。被三大主流浏览器所抛弃,主要浏览器开发商正在竞相推动网站用SHA-2替代SHA-1算法签名证书。Mozilla将成为第一家对SHA-1证书发出警告的主要浏览器开发商。SHA-1算法签名的证书已经不再安全,它容易受到碰撞攻击(collision attacks)和伪造证书。主要浏览器开发商都制定了淘汰SHA-1证书的计划。这意味着这个取代了MD5的加密算法要加速退役了。
当你浏览一个“安全”的网页的时候,你是否注意到在地址栏里的小锁?这是一颗给在互联网惊涛骇浪里颠簸的个人的定心丸——安全证书,https通信,加密算法等等这些要素的组合在时刻尽自己的努力保护着我们的信息安全。
证书宣称的安全是用户看到的表面,加密算法是其下面的核心。所以,谁颁发的安全证书?这个证书基于什么算法?这些其实都是浏览器在加载一个https打头的网址之前进行判断的,如果它们认为为网站提供证书,担保安全的证书商可信,证书的加密算法也具有安全效力,便会直接放行,要是它们认为两者之间的任何一个不可信,你会看到下面这样的提示:
伪造安全证书并伪造安全连接,盗取用户信息是针对这类证书的攻击的常见方法,一旦一个算法被黑客攻破,那采用这个算法的证书就无法保证安全了。就SHA-1而言,事实上Google表示早在11年前,这个算法就被发现有漏洞,随着计算能力的快速增长,破解它也变得更加容易。但由于很长时间内缺乏更合适的替代者,所以SHA-1一直服役到了现在,期间还确实引发了Dropbox用户信息泄漏这样的安全事件,更加让人担心的是SHA-1证书近年来还被Wosign和Startcom这样的证书商签出了不少,留下了很多安全隐患。
不提Wosign自身的问题,SHA-1的确在越来越险恶的环境里面显得愈发脆弱,这是主流网页浏览器提供方决定提早终止信任的原因,毕竟网页浏览器是用户与互联网连接的一个重要通道,这个通道的安全,总要有人负起责任来。
