[jpshare]A mudança de ter certificados SSL marcados com o SHA-1 algoritmo de hash para certificado assinado com o SHA-256 definido para começar em novembro de 2014 para atender a medidas de conformidade federais e PCI atualizadas.
Por causa do sempre demonstrado, a necessidade de reforçar procedimentos e estratégias levou à escolha de que as organizações devem mudar para o SHA-2 certificados, que são exponencialmente mais seguros.
Em maio 9, 2017, a Microsoft lançou atualizações para o Microsoft Edge e o Internet Explorer 11 para bloquear sites protegidos com um SHA-1 certificado de carregamento e para mostrar um certificado de autenticação inválido.
Realmente windows organizou a depreciação para certificados SHA1 por 1 Janeiro de 2017, mas adiaram para 9 Junho de 2017.
Aplica-se apenas a autenticações de CA subordinadas utilizando o SHA-1 algoritmo de hash e não faz diferença nas declarações cruzadas da CA raiz ou da CA. As CAs PODEM prosseguir com sua atual SHA-1 Certificados raiz.
SHA-2 A família compreende seis funções de hash com resumos (valores de hash) de 224, 256, 384 ou 512 bits: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256 .
Como encontrar os certificados que estou usando?
Existem várias maneiras de encontrar o algoritmo de assinatura com o certificado. Simplesmente você pode abrir o arquivo de certificado, vá para detalhes e, em seguida, algoritmo de assinatura SHA256 ou superior.
Além disso, isso pode ser feito com o seguinte comando OpenSSL.
openssl x509 -no seu certificado.crt -text -noout
A Digicert tornou tudo tão simples com o SHA-1 Ferramenta Sunset para procurar o certificado instalado com o seu domínio.
Por que SHA-1 retirado quais são os ataques
A causa subjacente do problema é uma vulnerabilidade conhecida do SHA-1 cálculo de hash que o abre para ataques de colisão. Esses ataques podem permitir que um invasor produza certificados extras com uma assinatura digital indistinguível de uma única.
Analistas do Google e ataques de criptografia mostraram que ataques de colisão são concebíveis com o SHA-1 em 23 de fevereiro de 2017. Eles criaram dois arquivos distintos que possuem o mesmo SHA-1 assinatura de hash.
Isso demonstra o que há algum tempo suspeitávamos: que SHA-1 é impotente e não pode ser confiável.
Pesquisa curta com roteiro de depreciação
Os criptoanalistas iniciados em 2005 estabelecem assaltos com SHA-1 e o algoritmo é ruim para o futuro e, mais tarde, em 2010, várias associações começaram a prescrever o mesmo.
Portanto, as empresas de navegadores declararam que seus programas separados deixarão de tolerar SHA-1 Testamentos SSL até 2017.
Em 23 de fevereiro de 2017, o CWI Amsterdam e o Google declararam ter praticado um ataque de colisão contra o SHA-1, publicando dois registros PDF diferentes que criam o mesmo SHA-1 hash como confirmação da ideia.