Microsoft zatnul tipec SHA-1 certifikátům ve svých prohlížečích

Microsoft v úterý aktualizoval svoje prohlížeče Internet Explorer a Microsoft Edge, které tak nově budou označovat SSL/TLS certifikáty, jež jsou podepsané zastaralou hashovací funkcí SHA-1, jako nebezpečné.

Microsoft zatnul tipec SHA-1 certifikátům ve svých prohlížečích


Podobný krok již dříve uskutečnila Mozilla se svým Firefoxem, jakož i Google se svým Chromem. Výrobci prohlížečů a autority vydávající certifikáty se již pár let zpátky zapojili do koordinované snahy o postupné utlumení používání SHA-1 certifikátů na webu. Hashovací funkce již totiž není schopna poskytovat dostatečné zabezpečení proti spoofingu.

Secure Hash Algorithm 1 začal být používán už v roce 1995, o deset let později se pak zjistilo, že je teoreticky zranitelný vůči kybernetickým útokům. Americký úřad, který má na starosti standardy, zakázal americkým vládním institucím používat SHA-1 v roce 2010, certifikační autority pak tento standard definitivně pohřbily 1. ledna loňského roku. Tedy až na pár výjimek, jako jsou zastaralé platební terminály.

Hashovací funkce jako SHA-1 se používají pro výpočet alfanumerického řetězce, sloužícího jako kryptografická reprezentace souboru nebo kusu dat. Tento řetězec může zároveň fungovat jako digitální podpis pod podmínkou, aby byl jedinečný a nevratný.

V únoru ovšem experti z Googlu a nizozemského výzkumného centra CWI dokázali vytvořit dva PDF soubory se stejným řetězcem SHA-1. To bez jakékoliv pochybnosti dokázalo, že zastaralou hashovací funkci již nelze využívat pro citlivé aplikace.

Microsoft oznámil, že zákaz SHA-1 podepsaných certifikátů v IE a Edge ovlivní jen certifikáty, které jsou spojeny s kořenovým certifikátem v Microsoft Trusted Root programu.

Podnikové a „vlastnoručně“ podepsané SHA-1 certifikáty to prozatím neovlivní, nicméně dlouhodobým plánem Microsoftu je postupné úplné stažení SHA-1 z Windows, a to včetně dalšího využití funkce – ověřování integrity stažených souborů.

Zúčastněte našeho globálního bezpečnostního průzkumu na téma informační bezpečnosti s názvem The Global State of Information Security Survey 2018 a sdělte nám svůj názor! Průzkum je k dispozici v angličtině a devíti dalších světových jazycích a naleznete ho zde.

Zdroj: CIO.com

 


Úvodní foto: © vege - Fotolia.com




Komentáře