愤怒的证书权威机构呼吁谷歌给网站更多的时间来升级浏览器到服务器通信的安全性,然后在Chrome中显示警告。
ca对谷歌大约六个月的时间表感到不安,谷歌将从本月开始对Chrome用户访问未从SHA-1升级到SHA-2的网站发出通知。
SHA代表“安全散列算法”,用于加扰数据在浏览器和Web服务器之间的安全连接上移动。浏览器通常在存在这样的连接时在URL中显示HTTPS。
大多数网站使用基于sha -1的签名作为其证书链的一部分。哈希算法有众所周知的安全弱点,SHA-2没有这些弱点。
然而,从SHA-1转换到新版本涉及到更新CA颁发的所有公钥证书(PKCs)。因为许多组织有几十甚至数百个证书,这样的升级需要时间更改受影响的系统,然后测试它们可能的问题,Wayne Thayer,证书颁发机构GoDaddy的安全产品总经理说。
“谷歌真的不明白这对大企业和小夫妻来说是多么痛苦,”塞耶说,他也是CA安全理事会指导委员会的成员。
谷歌拒绝了评论。但是,在一个9月5日博客文章该公司表示,希望在黑客成功拦截信用卡号码或个人信息等敏感数据之前,向网站施压,要求它们做出改变。
该公司表示:“我们需要确保,当针对SHA-1的攻击被公开展示时,网络已经远离它了。”
虽然谷歌认为它在做正确的事情,但CAs不同意这种威胁需要如此激进的时间表。相反,他们更喜欢微软的做法,即等到2017年1月1日,再逐步取消对ie浏览器SHA-1的支持。
“如果有明确的证据表明SHA-1作为哈希算法可以被击败,我们会第一个说,‘嘿,你需要立即替换它们,’”赛门铁克产品管理高级总监罗布·霍布利特(Rob Hoblit)说。“对于一些仍然有效、对很多客户来说将会带来颠覆性影响的产品,没有必要急于升级。”
除了提供的时间太少之外,ca说谷歌不应该在圣诞购物季开始在url中发布通知,特别是因为电子商务网站在一年中最繁忙的时候没有时间执行如此戏剧性的升级。
霍布利特说:“我们的很多客户,尤其是那些从事电子商务的客户,在11月和12月的假日购物季,他们的基础设施进入全面封锁模式。”
谷歌的SHA-1计划将于9月26日发布Chrome 39版。使用2016年12月31日之后到期的证书并使用SHA-1的网站将被视为“安全,但有小错误”。
这意味着谷歌将开始在HTTPS旁边的锁定图像上显示一个黄色三角形。
随着11月7日Chrome 40的发布,使用SHA-1证书的网站在2016年6月1日和2016年12月31日之间到期,将被视为“中立,缺乏安全”。
这样的网站仍然可以在其URL中获得HTTPS,但不再有一个锁定。
从定于2015年第一季度发布的Chrome 41开始,使用SHA-1证书的网站如果在2016年12月31日之后到期,将被视为“绝对不安全”,并在锁定图像上得到一个红色的X,在HTTPS上得到一个红色的划线。
此外,据塞耶说,访问此类网站的人将被警告有潜在的安全问题,必须点击警告才能访问该网站。
这篇文章“谷歌与证书颁发机构的争执如何影响您”最初是由方案 .