谷歌正在考虑禁止在谷歌浏览器的SHA-1加密功能开始七月签名证书。 1.这是从Mozilla和微软在过去的两个月中类似的公告。
浏览器厂商此前曾决定停止信任上月提出的HTTPS网站SHA-1签名的证书1,2017年,一年的证书颁发机构后,应该停止发放新的。
但是,由于最近的研究显示,SHA-1是较弱比以前认为,Mozilla的,微软和谷歌目前都在考虑将最后期限前向六个月。
“在与微软的边缘和Mozilla Firefox线,目标日期这一步是2017年1月1日,但我们正在考虑早期运动到2016年7月1日在光正在进行的研究,”谷歌Chrome团队成员卢卡斯嘉禹和大卫•本杰明周五在一篇博客文章。 “因此,我们敦促网站尽快更换任何剩余的SHA-1证书”。
在此之前,从浏览器的版本48,预计降落在明年年初,该浏览器会显示错误,如果通过网站提供服务的证书有SHA-1签名和月之后发布1,2016年这是因为公证书颁发机构(CA)不应该发出此日期之后新的SHA-1签名证书。
在今年晚些时候,Chrome浏览器可能会被更新,以应用相同的待遇网站证书链回用SHA-1签名的中介证书。
像Facebook和这些网站由CloudFlare的保护已经实现了SHA-1的回退机制。两家公司都认为,现在有成千上万的人在发展中仍然使用的浏览器和操作系统不支持SHA-2,更换功能SHA-1的国家,因此,将被从移动到SHA-加密的网站,切断2证书。
该公司还希望核证机关继续发SHA-1证书到2016年,但仅限于网站所有者可以证明他们所服务SHA-2证书现代浏览器,并回落到SHA-1仅适用于旧的客户端。
廉价的云计算近年来的出现,签署了死刑令,SHA-1,散列算法,可以追溯到1995年,被称为是脆弱的计算密集型冲突攻击,可能导致签名,因此证书伪造。
虽然标准和技术的美国国家研究院长期以来强制要求联邦机构应当从SHA-1,离开了SSL产业相对滞后,给点意见,在9月近三分之一的最流行的145000启用HTTPS的网站分别为依然采用了SHA-1证书。的比例现在是15%左右。
三年前,研究人员估计,对SHA-1的一个实际的攻击将利用商用云计算服务花费$ 70万2015年和$ 173,000到2018年。
然而,10月,一组研究人员提出了一种新的方式来打破SHA-1,预计将快于此前预期降低攻击的成本。正是这种研究具有浏览器制造商担心,并促使他们考虑的一个早期的截止日期为SHA-1证书。
