Google припиняє підтримку SHA-1 сертифікатів слідом за Mozilla і Microsoft

Не так давно корпорація Microsoft оголосила про швидке завершення підтримки TLS і SSL сертифікатів, де використовується алгоритм хешування SHA-1. Перед цим аналогічну заяву зробило і керівництво Mozilla. Зараз і корпорація Google вирішила вчинити таким же чином, припинивши підтримку SHA-1 до 1 січня 2017 року.

Проблема полягає в тому, що в найближчому майбутньому не буде ніяких проблем з підбором колізій для такого алгоритму хешування. Обчислювальна техніка стає все потужнішою, хмарні сервіси розвиваються і подібна операція вже не буде надто дорогою для зловмисника. Зараз корпорація Google вже почала позначати сайти з таким сертифікатом як небезпечні.

На думку експертів, висловлену ще в 2012 році, зловмисники зможуть підробляти відповідні сертифікати вже в 2018 році. Немає ніякої гарантії, що це не станеться раніше. Тому великі телекомунікаційні компанії вирішили вчинити мудро - позбутися проблеми ще до того, як вона стала проблемою.

І вчасно - більш нові дослідження показують, що вартість підробки сертифіката значно знижується вже зараз. Використовуючи хмарні сервіси на кшталт Amazon EC2, шахраї можуть за відносно невеликі гроші створювати підроблені сертифікати SHA-1. У 2017 році це вже буде реальна загроза. Саме тому більшість компаній планує позбутися підтримки такого роду сертифікатів до 1 січня 2017 року.

Також всі три згадані компанії припинять підтримувати алгоритм шифрування RC4 в січні або лютому наступного року.

У січні 2016 року нова версія Chrome (Chrome 48) буде показувати помилку для сайтів з SHA-1 сертифікатами, як і показано в анонсі.