>> Quais são as preocupações de segurança em relação ao SHA-1?
>> Quando as alterações de navegador aos certificados SHA-1 entraram em vigor?
>> Como a DigiCert está lidando com o requisito do SHA-2?
>> O que fazer se eu tiver um certificado SHA-2 e encontrar um problema?
>> Meus usuários terão problemas se meu site for protegido com um certificado SSL SHA-2?
Quais são as preocupações de segurança em relação ao SHA-1?
Nenhum algoritmo de hash é totalmente resistente a colisões. A força da resistência a colisões de uma função de hash depende do quanto é difícil encontrar uma colisão. Uma colisão ocorre quando um invasor consegue achar dois hashes idênticos com determinada função hash. Por exemplo, em um ataque de colisão bem-sucedido, o invasor cria um certificado de CA falso. Os navegadores da Web confiam nesse certificado, então ele pode se passar por sites protegidos com o protocolo HTTPS.
Conforme a tecnologia progride, com o tempo, a resistência a colisões da função de hash se enfraquecerá o suficiente para que seja necessário usar uma função de hash mais forte. Em 2005, uma equipe de pesquisa chinesa descobriu uma vulnerabilidade em uma propriedade de resistência a colisões no SHA-1. Desde então, os ataques às comunidades de pesquisa/criptologia têm se aperfeiçoado. A previsão é que, em alguns anos, o custo do poder computacional necessário para efetuar um ataque de colisão bem-sucedido se tornará praticável.
Quando as alterações de navegador aos certificados SHA-1 entraram em vigor?
Como parte de seu plano de migração para o SHA-2, a Microsoft, o Google e a Mozilla anunciaram que deixariam de confiar em certificados SHA-1.
Mudanças no certificados SSL SHA-1:
A Microsoft, o Google e a Mozilla começaram a deixar de confiar nos certificados SHA-1 em 2016. Veja uma linha do tempo desses eventos:
- Novembro de 2014: os certificados SSL SHA-1 que expirarem durante 2017 mostrarão um aviso no Chrome.
- Dezembro de 2014: os certificados SSL SHA-1 que expirarem após 1º de junho de 2016 mostrarão um aviso no Chrome.
- Janeiro de 2015: os certificados SSL SHA-1 que expirarem durante 2016 mostrarão um aviso no Chrome.
- Dezembro de 2015: os certificados SSL SHA-1 emitidos após 1º de janeiro de 2016 mostrarão o erro de "conexão não confiável" no Chrome.
- Janeiro de 2016: os certificados SSL SHA-1 emitidos após 1º de janeiro de 2016 mostrarão um erro de certificado no Chrome.
Critérios para certificados: assinados com uma assinatura básica SHA-1, emitidos após 1º de janeiro de 2016 e vinculados a uma CA pública. - 1º de janeiro de 2017: a Microsoft, o Google e a Mozilla deixarão de confiar em todos os certificados SSL SHA-1.
A Mozilla e o Google afirmam ser possível estender esse período até 1º de julho de 2016, devido aos ataques recentes ao SHA-1.
A Microsoft afirma ser possível estender esse período até no máximo o início de junho de 2016, devido aos ataques recentes ao SHA-1.
Como a DigiCert está lidando com o requisito do SHA-2?
A DigiCert está sempre em busca de formas de proporcionar aos clientes a melhor experiência no SSL. Após o comunicado da Microsoft, a DigiCert deixou de emitir certificados SHA-1 que haviam expirado após 2017 e tornou o SHA-2 o padrão para todos os certificados comprados. A DigiCert recomenda firmemente que você acelere a implantação do SHA-2 onde possível e se prepare para aderir totalmente a ele, caso ainda não tenha feito isso.
O que fazer se eu tiver um certificado SHA-2 e encontrar um problema?
Consulte o fabricante do seu navegador ou sistema operacional para saber se há atualizações compatíveis com o SHA-2.
Meus usuários terão problemas se meu site for protegido com um certificado SSL SHA-2?
Todos os navegadores atuais são compatíveis com certificados SHA-2. Usuários que usam navegadores mais antigos estão sempre suscetíveis a vários problemas de segurança, inclusive à falta de compatibilidade com SHA-2. A DigiCert sugere que os administradores ajudem os usuários com sistemas antigos e menos seguros a atualizarem para a versão mais recente.