Perché passare ai certificati TLS/SSL SHA-2?
DigiCert, come tuo partner per la sicurezza, ha impostato di default il formato SHA-256 per tutti i suoi certificati TLS/SSL e consiglia fortemente a tutti i clienti di aggiornare i propri certificati SHA-1 a SHA-2. Questo perché SHA-1 non è considerato sicuro almeno dal 2006. Infatti, NIST ha deprecato l'uso di SHA-1 nel 2011 e ne ha vietato l'uso per le firme digitali nel 2013. I crittoanalisti hanno invitato gli amministratori a sostituire i loro certificati SHA-1, poiché i rischi associati a SHA-1 sono maggiori di quanto previsto in precedenza.
Come posso trovare e sostituire rapidamente i certificati SHA-1?
Lo strumento di discovery basato sul cloud DigiCert CertCentral® ti aiuta a trovare e sostituire rapidamente i certificati TLS/SSL SHA-1 con un certificato SHA-2 gratuito di DigiCert. Il nostro strumento di Discovery è in grado di scansionare i certificati anche all'interno delle reti distribuite più complesse. Forniamo inoltre diverse opzioni di scansione per scoprire e monitorare tutti i certificati, privati e pubblici, indipendentemente dall'autorità di certificazione (CA).
TLS/SSH (Secure Shell Keys) Discovery ha due componenti che ti aiutano a scansionare a fondo le reti alla ricerca di certificati TLS e chiavi SSH:
- Scansione nel cloud - Un'opzione semplice e veloce per trovare i certificati TLS sui server pubblici. Questa opzione non richiede alcuna installazione e può essere avviata direttamente dall'interfaccia utente di CertCentral.
- Le scansioni di rete scoprono tutti i certificati TLS pubblici e privati in reti distribuite complesse. Esegui una scansione approfondita del tuo ambiente per creare report e avere una visibilità completa di tutti i certificati TLS e le chiavi SSH.
Quando dovrei passare a SHA-2?
Google, Mozilla e Microsoft hanno già eliminato gradualmente la fiducia nei certificati SSL SHA-1. In passato, Chrome mostrava anche avvisi SHA-1 per i siti che utilizzavano certificati SHA-1. Gli amministratori che non hanno ancora sostituito i loro certificati SHA-1 con certificati SHA-2 dovrebbero iniziare a farlo ora.
Nell'agosto 2014, Google aveva assunto una posizione anche più aggressiva dichiarando che Chrome visualizzerà avvisi a partire da novembre 2014 per i siti protetti con certificati SHA-1, in quanto SHA-1 non è sufficientemente sicuro. L'intento di Google è contribuire alla graduale eliminazione dei certificati SHA-1 in tempi rapidi e rendere la transizione più agevole rispetto all'MD5.
Nell'ottobre 2015, un team internazionale di crittoanalisti aveva pubblicato una ricerca in cui si esortavano gli amministratori a sostituire in anticipo i certificati SHA-1, dato che i rischi associati a quest'ultimo sono maggiori di quanto previsto in precedenza. I risultati pubblicati sono teorici e non sono ancora stati dimostrati in un contesto pratico. Anche se non sembra esserci un pericolo immediato, consigliamo fortemente agli amministratori di migrare a SHA-2 il prima possibile.
Gli amministratori devono considerare l'impatto che questo aggiornamento potrebbe avere e pianificare quanto segue:
- Hardware compatibile con SHA-2
- Aggiornamenti del software del server che supportino SHA-2
- Supporto del software client per SHA-2
- Supporto delle applicazioni personalizzate per SHA-2
I browser e le CA avevano già invitato a migrare a SHA-2 entro il 2017, ma le ricerche attuali a loro volta devono incoraggiare le organizzazioni ad accelerare i piani di aggiornamento delle loro infrastrutture esistenti per supportare SHA-2. Per maggiori informazioni sulle tempistiche di SHA-2, visita la pagina FAQ su SHA-2.
