研究人员已经证明了要破解 SHA-1 算法正变得越来越容易、所需成本也更低,所以就有了 SHA-1 将终结的说法。这也让很多浏览器厂商,如 Mozilla、微软和谷歌,在浏览器中将 SHA-1 签名的 SSL/TLS 证书标注为不安全,甚至最终阻止用户连接采用这种过时证书的站点。在浏览器厂商在很快做出回应以后,一些服务和内容提供商也做出了不同的回应,据互联网最大 CDN 之一的CloudFlare所说,约有3700万用户还在用老旧的设备和浏览器,无法支持更安全的 SHA-2 证书,要宣布很快弃用 SHA-1 是不合理的。
考虑到 SHA-1 的确已经不安全了,但基于其应用广泛,Facebook和CloudFlare提出了一个倡议计划,就是继续让 CA 颁发新的 SHA-1 证书,但要求相应站点能够证明他们会优先使用 SHA-2,而 SHA-1 证书仅作为备选方案,给那些由于技术原因或经济考量而无法使用支持 SHA-2 浏览器或设备的用户使用。Twitter 刚刚也加入到 Facebook 和 CloudFlare 的行列中,请求 CA/Browser forum 考虑到加快弃用 SHA-1 的不合理性,能够更为平缓地进行过渡,因为这可能导致数百万互联网用户没法访问安全的 HTTPS 站点。
对服务和内容提供商而言,有这样的顾虑和考量实际是从他们的利益出发的,因为根据 Twitter 的数据,大约有3%-6%的用户还在使用旧的设备和浏览器,显然弃用 SHA-1 也就意味着放弃这部分用户了。很多网站是完全采用 HTTPS 的,越来越多的 web 服务也意识到快速转往 SHA-2 可能会流失一定的用户群体,所以他们加入这样的计划也就可以理解了。
原文来自://q13zd.cn/should-not-be-quickly-abandoned-sha1-certificate.html作者:张宏宇
本文地址://q13zd.cn/should-not-be-quickly-abandoned-sha1-certificate.html
本文原创地址://q13zd.cn/should-not-be-quickly-abandoned-sha1-certificate.html编辑:清蒸github,审核员:暂无