Firma Microsoft niedawno ogłosiła, że ​​planuje zrezygnować z obsługi certyfikatów TLS podpisanych algorytmem mieszającym SHA -1 od lutego 2017 r. Microsoft przyznał również, że poważna zmiana dotyczy wielu witryn internetowych, użytkowników i aplikacji innych firm, gdy firma potępi SHA-1 podpisane certyfikaty.

Począwszy od 14 lutego 2017 r. Microsoft Edge i Internet Explorer 11 zapobiegną ładowaniu witryn chronionych certyfikatem SHA-1 i wyświetlą ostrzeżenie o nieważnym certyfikacie. Chociaż zdecydowanie go odradzamy, użytkownicy będą mogli zignorować błąd i przejść do strony internetowej, podając Microsoft w blogu.

To odkrycie nie jest dokładnie nowością: firma podpowiedziała tyle samo w listopadzie.

Algorytm mieszający SHA-1, stosowany do bezpieczeństwa w połączeniu z protokołem HTTPS i certyfikatami używanymi do ochrony stron internetowych, został uznany za niebezpieczny i podatny na ataki dobrze finansowanych przeciwników od 2005 r., Ale był używany w dużej mierze wcześniej, aż do SHA Pojawiły się algorytmy -2 i SHA-3, które zostały przetestowane pod kątem bezpieczniejszych alternatyw dla funkcji mieszających. Inicjatywa nie jest nowa, a funkcja ta została wcześniej potępiona i odrzucona przez Google i Mozillę za większą podatność na zderzenia kryptograficzne niż szacowano.

Microsoft wyszczególnił, że ich przeglądarki Edge i Internet Explorer będą teraz uniemożliwiać ładowanie stron korzystających z podpisanych certyfikatów SHA-1 i wyświetlą ostrzeżenie „nieważny certyfikat” w celu przywrócenia bezpieczeństwa usług. Mimo że użytkownicy nie będą zmuszani do pomijania witryn, będą mieli możliwość obejścia zagrożenia i uzyskania dostępu do potencjalnie wrażliwej witryny pomimo ostrzeżenia, tylko bez ikony zaufania „blokada paska” widocznej na pasku adresu przeglądarki.

Te zmiany nie będą miały wpływu na aplikacje Windows innych firm z systemem Windows API SHA-1 lub wcześniejsze wersje Internet Explorera.