>> Quali sono i problemi di sicurezza di SHA-1?
>> Quando sono entrate in vigore le modifiche del browser per i certificati SHA-1?
>> DigiCert come gestisce il requisito SHA-2?
>> Cosa devo fare se ho un certificato SHA-2 e riscontro un problema?
>> I miei utenti avranno problemi se il mio sito web è protetto con un certificato SSL SHA-2?
Quali sono i problemi di sicurezza di SHA-1?
Nessun algoritmo di hashing è completamente resistente alle collisioni. La resistenza alle collisioni di una funzione hash è determinata dalla difficoltà di trovare una collisione. Una collisione si verifica quando un aggressore può trovare due hash identici da una determinata funzione hash. Ad esempio, in un attacco di collisione andato a buon fine, l'aggressore crea un certificato di CA illegale. I browser web si fidano di questo certificato, che può essere utilizzato per impersonare siti web protetti dal protocollo HTTPS.
Con il progredire della tecnologia, la resistenza alle collisioni di una funzione hash diventerà abbastanza debole da rendere necessario il passaggio a una funzione hash più efficace. Nel 2005, un team di ricerca cinese ha scoperto una debolezza nelle proprietà di resistenza alle collisioni di SHA-1. Da allora, gli attacchi delle comunità di ricerca e crittologia sono migliorati e i ricercatori prevedono che in pochi anni il costo per raccogliere la potenza computazionale necessaria per portare a termine un attacco di collisione sarà accettabile.
Quando sono entrate in vigore le modifiche del browser ai certificati SHA-1?
Microsoft, Google e Mozilla hanno annunciato, nell'ambito del loro piano di migrazione a SHA-2, che non si sarebbero più fidate dei certificati SHA-1.
Modifiche ai certificati SSL SHA-1:
Microsoft, Google e Mozilla hanno iniziato ad eliminare gradualmente la fiducia nei certificati SHA-1 nel 2016. Ecco una cronologia storica di questi eventi:
- Novembre 2014 - I certificati SSL SHA-1 con scadenza nel 2017 mostrano un avviso in Chrome.
- Dicembre 2014 - I certificati SSL SHA-1 con scadenza successiva al 1° giugno 2016 mostrano un avviso in Chrome.
- Gennaio 2015 - I certificati SSL SHA-1 con scadenza nel 2016 mostrano un avviso in Chrome.
- Dicembre 2015 - I certificati SSL SHA-1 emessi dopo il 1° gennaio 2016 mostrano l'errore "connessione non sicura" in Firefox.
- Gennaio 2016 - I certificati SSL SHA-1 emessi dopo il 1° gennaio 2016 mostrano un errore di certificazione in Chrome.
Criteri per il certificato: firmato con una firma di base SHA-1, emesso dopo il 1° gennaio 2016 e collegato a una CA pubblica. - 1 gennaio 2017 - Microsoft, Google e Mozilla smettono di fidarsi di tutti i certificati SSL SHA-1.
Mozilla e Google affermano che è possibile spostare questa data al 1° luglio 2016, alla luce dei recenti attacchi a SHA-1.
Microsoft afferma che è possibile spostare questa data già a giugno 2016, alla luce dei recenti attacchi a SHA-1.
Come gestisce DigiCert il requisito SHA-2?
DigiCert è sempre alla ricerca di modi per dare ai nostri clienti la migliore esperienza in ambito SSL. Dopo l'annuncio di Microsoft, DigiCert non ha emesso alcun certificato SHA-1 con scadenza oltre il 2017 e ha reso SHA-2 il default per tutti i certificati acquistati. DigiCert consiglia fortemente di accelerare l'implementazione di SHA-2 laddove possibile e di prepararsi a migrare completamente a SHA-2, se non l'hai già fatto.
Cosa devo fare se ho un certificato SHA-2 e riscontro un problema?
Verifica sul tuo browser o con il produttore del tuo sistema operativo se esistono aggiornamenti che aggiungano il supporto a SHA-2.
I miei utenti avranno problemi se il mio sito web è protetto con un certificato SSL SHA-2?
Tutti i browser moderni supportano i certificati SHA-2. Gli utenti che utilizzano browser meno recenti sono sempre esposti a numerosi problemi di sicurezza, tra cui la compatibilità con SHA-2. DigiCert invita gli amministratori a collaborare con gli utenti che usano sistemi più vecchi e meno sicuri affinché possano aggiornare i sistemi alla versione più recente.