FAQ Hero
SHA-2

Perguntas
frequentes
sobre SHA-2

>> Quais são as preocupações de segurança em relação ao SHA-1?
>> Quando as alterações de navegador aos certificados SHA-1 entraram em vigor?
>> Como a DigiCert está lidando com o requisito do SHA-2?
>> O que fazer se eu tiver um certificado SHA-2 e encontrar um problema?
>> Meus usuários terão problemas se meu site for protegido com um certificado SSL SHA-2?

Quais são as preocupações de segurança em relação ao SHA-1?

Nenhum algoritmo de hash é totalmente resistente a colisões. A força da resistência a colisões de uma função de hash depende do quanto é difícil encontrar uma colisão. Uma colisão ocorre quando um invasor consegue achar dois hashes idênticos com determinada função hash. Por exemplo, em um ataque de colisão bem-sucedido, o invasor cria um certificado de CA falso. Os navegadores da Web confiam nesse certificado, então ele pode se passar por sites protegidos com o protocolo HTTPS.

Conforme a tecnologia progride, com o tempo, a resistência a colisões da função de hash se enfraquecerá o suficiente para que seja necessário usar uma função de hash mais forte. Em 2005, uma equipe de pesquisa chinesa descobriu uma vulnerabilidade em uma propriedade de resistência a colisões no SHA-1. Desde então, os ataques às comunidades de pesquisa/criptologia têm se aperfeiçoado. A previsão é que, em alguns anos, o custo do poder computacional necessário para efetuar um ataque de colisão bem-sucedido se tornará praticável.

Quando as alterações de navegador aos certificados SHA-1 entraram em vigor?

Como parte de seu plano de migração para o SHA-2, a Microsoft, o Google e a Mozilla anunciaram que deixariam de confiar em certificados SHA-1.

Mudanças no certificados SSL SHA-1:

A Microsoft, o Google e a Mozilla começaram a deixar de confiar nos certificados SHA-1 em 2016. Veja uma linha do tempo desses eventos:

  • Novembro de 2014: os certificados SSL SHA-1 que expirarem durante 2017 mostrarão um aviso no Chrome.
  • Dezembro de 2014: os certificados SSL SHA-1 que expirarem após 1º de junho de 2016 mostrarão um aviso no Chrome.
  • Janeiro de 2015: os certificados SSL SHA-1 que expirarem durante 2016 mostrarão um aviso no Chrome.
  • Dezembro de 2015: os certificados SSL SHA-1 emitidos após 1º de janeiro de 2016 mostrarão o erro de "conexão não confiável" no Chrome.
  • Janeiro de 2016: os certificados SSL SHA-1 emitidos após 1º de janeiro de 2016 mostrarão um erro de certificado no Chrome.
    Critérios para certificados: assinados com uma assinatura básica SHA-1, emitidos após 1º de janeiro de 2016 e vinculados a uma CA pública.
  • 1º de janeiro de 2017: a Microsoft, o Google e a Mozilla deixarão de confiar em todos os certificados SSL SHA-1.
    A Mozilla e o Google afirmam ser possível estender esse período até 1º de julho de 2016, devido aos ataques recentes ao SHA-1.
    A Microsoft afirma ser possível estender esse período até no máximo o início de junho de 2016, devido aos ataques recentes ao SHA-1.

Como a DigiCert está lidando com o requisito do SHA-2?

A DigiCert está sempre em busca de formas de proporcionar aos clientes a melhor experiência no SSL. Após o comunicado da Microsoft, a DigiCert deixou de emitir certificados SHA-1 que haviam expirado após 2017 e tornou o SHA-2 o padrão para todos os certificados comprados. A DigiCert recomenda firmemente que você acelere a implantação do SHA-2 onde possível e se prepare para aderir totalmente a ele, caso ainda não tenha feito isso.

O que fazer se eu tiver um certificado SHA-2 e encontrar um problema?

Consulte o fabricante do seu navegador ou sistema operacional para saber se há atualizações compatíveis com o SHA-2.

Meus usuários terão problemas se meu site for protegido com um certificado SSL SHA-2?

Todos os navegadores atuais são compatíveis com certificados SHA-2. Usuários que usam navegadores mais antigos estão sempre suscetíveis a vários problemas de segurança, inclusive à falta de compatibilidade com SHA-2. A DigiCert sugere que os administradores ajudem os usuários com sistemas antigos e menos seguros a atualizarem para a versão mais recente.