谷歌打算在今年晚些时候在其Chrome浏览器中进行更改,该浏览器将使用基于安全散列算法,SHA-1使用证书在网站上显示警告。谷歌想要这样做,让网站迁移到更强大的SHA-2算法的证书,这并不易于突破原始计算能力。
证书颁发机构供应商呼吁谷歌的计划在时间范围内过分侵略性,并表示随着假日购物季的开始,它可能会导致大众混乱权。
Google’s Chrome browser is expected to be changed in the November timeframe so that users will find that when they visit websites that use SHA-1-based certificates, the browser will give them a warning that could surprise them, says Dean Coclin, senior director of business development at Symantec. Coclin is active in two industry groups, the Certificate Authority Browser Forum and the CA Security Forum, which are carefully monitoring Google’s plan.
+也在网络世界有个足球雷竞技app新的SSL服务器规则于11月1日生效|证书颁发机构安全理事会支持SSL服务器规则于11月1日生效+
惊喜将是Chrome的更新版本,当用于到达具有SHA-1证书的网站时,将为用户提供一个带有黄色三角形的锁定形式的“安全但小错误”图标。当Chrome检测到页面中的不安全内容时,这是相同的图标,而是根据无论如何决定加载它。
谷歌的高级软件工程师Ryan Sleevi于8月20日在谷歌网上透露了这一计划开发人员论坛它导致了过去一个月的一些哗然。CA安全理事会包括七个最大的证书当局,表达了它的担忧一份声明此后不久。
“考虑到许多用户可能仍然可以使用缺乏SHA-2支持的软件,主要是Windows XP SP2,以及对完整的SHA-1迁移的仍然未知的影响,这一12周的时间框架是侵略性的,”该组表示。“此外,许多设备仍然缺乏SHA-2的支持,使必要的必要性意外和昂贵的升级。随着秋季的购物季节,这一政策可能特别有关小型互联网店,这可能会在假日匆忙之前受到影响。“理事会正在敦促“所有网站运营商,以便尽可能加速他们的SHA-2部署。”
谷歌难以看到其希望看到SHA-1逐步淘汰,因为SHA-1算法的弱点已被广泛认可。
Digicert的业务开发副总裁Jeremy Rowley也在CA安全论坛指导委员会上表示,众所周知,大量的计算能力可能会破坏SHA-1,尽管目前没有被认为是大多数攻击者的实用性。它假设一些组织,例如具有很多计算资源的间谍机构,可能会这样做。打破SHA-1哈希带来了危险,它可以替换为另一个,损害了消息完整性。
证书管理局行业通常支持去年Microsoft宣布的SHA-2的时间表,该时间表在2016年1月1日和2017年1月1日之前呼吁在代码签约证书中弃用SHA-1。。证书当局更愿意使用Microsoft设置的时间框架,以避免对网站运营商和网络用户的混淆。
“用户被扔进了这个混乱的游戏,令人困惑的日期,”罗利说。但尽管谷歌令人沮丧地减缓了被视为加速时间范围的东西,“他们忽略了我们,”他说。
在网络论坛中,Slevi感谢那些“参与了这些热烈的讨论,共享了数据和经验”的人和SHA-1计划他概述了“粗暴的变化时间表”。
Sleevi还指出,谷歌计划“监控用户反馈(手动和自动)、受影响供应商、isv和企业的反馈、站点运营商的反馈、TLS整体生态系统的趋势以及CAs对这些数据的考虑,但这些都是实际可行的目标,这是近一年前开始的行动,是近三年前的精神,是在实际弱点暴露9年后开始的。”