繼去年宣布了SHA–1棄用計(jì)劃之后，近期Google、Microsoft和Mozilla給出了從各自的旗艦瀏覽器產(chǎn)品中移除SHA-1認(rèn)證支持的詳細(xì)時(shí)間表。

Chrome

即將在2017年1月底發(fā)布到穩(wěn)定通道的Chrome 56將不再信任任何來(lái)自公共認(rèn)證機(jī)構(gòu)的SHA-1認(rèn)證，對(duì)現(xiàn)有的SHA-1認(rèn)證會(huì)給出警告。但是對(duì)于那些在企業(yè)內(nèi)部使用的私有PKI，Chrome將會(huì)繼續(xù)提供SHA-1支持，因?yàn)檫@些PKI使用EnableSha1ForLocalAnchors策略，依賴底層的操作系統(tǒng)提供SHA-1支持。

Firefox

Firefox將在Firefox 51中停止信任SHA-1簽名認(rèn)證。當(dāng)前Firefox 51正處于開(kāi)發(fā)版本階段，計(jì)劃于2017年1月發(fā)布。為評(píng)估移除SHA-1簽名認(rèn)證對(duì)真實(shí)使用情況的影響，Mozilla在2016年11月初著手在部分beta用戶中開(kāi)展移除SHA-1的beta測(cè)試。Firefox默認(rèn)使用手動(dòng)安裝的認(rèn)證。

Edge

Mircosoft Edge和Internet Explorer 11瀏覽器將于2017年2月14日停止加載使用SHA-1認(rèn)證的網(wǎng)站，同時(shí)讓用戶決定是否忽視無(wú)效認(rèn)證的警告并依然繼續(xù)訪問(wèn)該網(wǎng)站。同樣，手動(dòng)安裝的或自簽名的SHA-1認(rèn)證將不會(huì)受到影響。

Safari

Safari的提供商Apple也開(kāi)始逐步停止使用SHA-1和3DES這類被認(rèn)為是不安全的算法。在最新版本的macOS中已經(jīng)可以看到，對(duì)于SHA-1簽名認(rèn)證的網(wǎng)站，Safari瀏覽器將不再顯示那個(gè)原有的綠色掛鎖標(biāo)志。在Sierra的發(fā)行說(shuō)明中也建議應(yīng)盡快停止使用SHA-1，但是并未給出更多的細(xì)節(jié)。

雖然移除SHA-1支持早已進(jìn)入倒計(jì)時(shí)階段，但是安全公司Venafi的研究人員發(fā)現(xiàn)，在一千一百萬(wàn)個(gè)可訪問(wèn)的網(wǎng)站中，有35%的網(wǎng)站依然在使用SHA-1認(rèn)證。

我們的分析結(jié)果清晰地表明，雖然很多最熱門(mén)的網(wǎng)站已經(jīng)移除了SHA-1認(rèn)證，但是仍有大部分網(wǎng)站在使用SHA-1認(rèn)證。據(jù)Netcraft在2016年9月所做的Web服務(wù)器調(diào)查顯示，當(dāng)前有超過(guò)一億七千三百萬(wàn)的活躍網(wǎng)站。從我們的分析結(jié)果推斷，其中可能至少會(huì)有六千一百萬(wàn)個(gè)網(wǎng)站依然在使用這類認(rèn)證。

早在11年前，SHA-1加密算法就被發(fā)現(xiàn)是脆弱的，近期的發(fā)現(xiàn)進(jìn)一步表明SHA-1比我們之前想象的還要脆弱。這主要是因?yàn)镚PU的最新進(jìn)展使得碰撞攻擊在不久的將來(lái)成為可能。

逐步停止對(duì)SHA-1支持的決策最早是由Google在2014年末提出的，很快Mozilla 也跟進(jìn)，之后是Microsoft。在2015年中期，這些公司雄心勃勃移除SHA-1計(jì)劃曾被推遲。主要是考慮到現(xiàn)在有很多不支持新算法的老設(shè)備，它們的Web訪問(wèn)會(huì)因此被切斷。

對(duì)于網(wǎng)站的運(yùn)營(yíng)人員而言，檢查一個(gè)網(wǎng)站是否正在使用基于SHA-1的認(rèn)證并非難事。

查看英文原文：Google, Microsoft, and Mozilla Urge Site Operators to Replace SHA–1 Certificates