forum.opennet.ru

Составление сообщения

Исходное сообщение

"Google досрочно прекратит поддержку SHA-1 в Chrome"
Отправлено opennews, 21-Дек-15 23:43

Компания Google опубликовала (https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o...) обновлённый план прекращения поддержки SHA-1 в браузере Chrome, в соответствии с которым поддержка будет прекращена не 1 января 2017 года, а 1 июля 2016 года. Ранее, после выявления (https://www.opennet.ru/opennews/art.shtml?num=43124) новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, аналогичное решение было принято (https://www.opennet.ru/opennews/art.shtml?num=43172) разработчиками Firefox.
При этом, доверие к новым сертификатам на базе SHA-1, выписанным после 1 января 2016 года, будет прекращено уже начиная с Chrome 48, выпуск которого ожидается в начале 2016 года (в июле доверие будет прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты их создания). По мнению Google пдобное изменение не должно негативно отразиться на работе сайтов, так как удостоверяющим центрам предписано (https://cabforum.org/baseline-requirements-documents/) с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов.

Тем временем компания Facebook не согласна с новыми требованиями и предупредила (http://arstechnica.com/security/2015/12/sha1-sunset-will-blo.../), что прекращение использования SHA-1 может оставить без шифрования десятки миллионов пользователей. По данным Facebook около 7% находящихся в обиходе браузеров не поддерживают алгоритм хэширования SHA256, который упомянут в качестве минимального требования после устаревания SHA-1. По данным CloudFlare около 37 млн пользователей не смогут работать с сертификатами, подписанными с использованием SHA256. Таким образом, в условиях возможности подбора коллизии для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов, вред от оставления десятков миллионов пользователей без шифрования превышает опасность от провеления целенаправленных атак на SHA-1 для этих пользователей.

В качестве решения проблемы Facebook и CloudFlare предлагают реализовать запасной вариант, разрешив установку HTTPS-соединений с применением сертификатов на базе SHA-1, но только при условии, что браузер клиента не поддерживает SHA256 и более надёжные хэш-функции. Facebook планирует реализовать данный метод для всех своих сайтов, а CloudFlare для всего трафика своих клиентов. К инициативе также подключился китайский портал Alibaba.

Для более широкого распространения данной идеи предложено изменить требования (https://cabforum.org/baseline-requirements/) к удостоверяющим центрам, введя в обиход новый класс сертификатов LV (Legacy Validated), заверенных с использованием SHA-1. При этом LV-сертификат можно будет выдавать только в том случае, если организация уже имеет сертификат на базе SHA256 и продемонстрировала его использование для современных браузеров.

URL: https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o...
Новость: http://www.opennet.ru/opennews/art.shtml?num=43565

Исходное сообщение
"Google досрочно прекратит поддержку SHA-1 в Chrome" Отправлено opennews, 21-Дек-15 23:43
Компания Google опубликовала (https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o...) обновлённый план прекращения поддержки SHA-1 в браузере Chrome, в соответствии с которым поддержка будет прекращена не 1 января 2017 года, а 1 июля 2016 года. Ранее, после выявления (https://www.opennet.ru/opennews/art.shtml?num=43124) новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, аналогичное решение было принято (https://www.opennet.ru/opennews/art.shtml?num=43172) разработчиками Firefox. При этом, доверие к новым сертификатам на базе SHA-1, выписанным после 1 января 2016 года, будет прекращено уже начиная с Chrome 48, выпуск которого ожидается в начале 2016 года (в июле доверие будет прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты их создания). По мнению Google пдобное изменение не должно негативно отразиться на работе сайтов, так как удостоверяющим центрам предписано (https://cabforum.org/baseline-requirements-documents/) с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. Тем временем компания Facebook не согласна с новыми требованиями и предупредила (http://arstechnica.com/security/2015/12/sha1-sunset-will-blo.../), что прекращение использования SHA-1 может оставить без шифрования десятки миллионов пользователей. По данным Facebook около 7% находящихся в обиходе браузеров не поддерживают алгоритм хэширования SHA256, который упомянут в качестве минимального требования после устаревания SHA-1. По данным CloudFlare около 37 млн пользователей не смогут работать с сертификатами, подписанными с использованием SHA256. Таким образом, в условиях возможности подбора коллизии для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов, вред от оставления десятков миллионов пользователей без шифрования превышает опасность от провеления целенаправленных атак на SHA-1 для этих пользователей. В качестве решения проблемы Facebook и CloudFlare предлагают реализовать запасной вариант, разрешив установку HTTPS-соединений с применением сертификатов на базе SHA-1, но только при условии, что браузер клиента не поддерживает SHA256 и более надёжные хэш-функции. Facebook планирует реализовать данный метод для всех своих сайтов, а CloudFlare для всего трафика своих клиентов. К инициативе также подключился китайский портал Alibaba. Для более широкого распространения данной идеи предложено изменить требования (https://cabforum.org/baseline-requirements/) к удостоверяющим центрам, введя в обиход новый класс сертификатов LV (Legacy Validated), заверенных с использованием SHA-1. При этом LV-сертификат можно будет выдавать только в том случае, если организация уже имеет сертификат на базе SHA256 и продемонстрировала его использование для современных браузеров. URL: https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o... Новость: http://www.opennet.ru/opennews/art.shtml?num=43565

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Google опубликовала (https://googleonlinesecurity.blogspot.ru/2015/12/an-update-on-sha-1-certificates-in.html) 
> обновлённый план прекращения поддержки SHA-1 в браузере Chrome, в соответствии с 
> которым поддержка будет прекращена не 1 января 2017 года, а 1 
> июля 2016 года. Ранее, после выявления (https://www.opennet.ru/opennews/art.shtml?num=43124) 
> новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, аналогичное решение 
> было принято (https://www.opennet.ru/opennews/art.shtml?num=43172) разработчиками 
> Firefox.

> При этом, доверие к новым сертификатам на базе SHA-1, выписанным после 1 
> января 2016 года, будет прекращено уже начиная с  Chrome 48, 
> выпуск которого ожидается в начале 2016 года (в июле доверие будет 
> прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты 
> их создания). По мнению Google пдобное изменение не должно негативно отразиться 
> на работе сайтов, так как удостоверяющим центрам предписано (https://cabforum.org/baseline-requirements-documents/) 
>  с 1 января 2016 года полностью прекратить использование SHA-1 при 
> создании сертификатов.

> Тем временем компания Facebook не согласна с новыми требованиями и предупредила (http://arstechnica.com/security/2015/12/sha1-sunset-will-block-millions-from-encrypted-net-facebook-warns/), 
> что прекращение использования SHA-1 может оставить без шифрования десятки миллионов пользователей. 
> По данным Facebook около 7% находящихся в обиходе браузеров не поддерживают 
> алгоритм хэширования SHA256, который упомянут в качестве минимального требования после 
> устаревания SHA-1. По данным CloudFlare около 37 млн пользователей не смогут 
> работать с сертификатами, подписанными с использованием SHA256. Таким образом, в условиях 
> возможности подбора коллизии для хэша SHA-1 за несколько месяцев при цене 
> в 75-120 тысяч долларов, вред от оставления десятков миллионов пользователей без 
> шифрования превышает опасность от провеления целенаправленных атак на SHA-1 для этих 
> пользователей.

> В качестве решения проблемы Facebook  и CloudFlare предлагают реализовать запасной вариант, 
> разрешив установку HTTPS-соединений с применением сертификатов на базе SHA-1, но только 
> при условии, что браузер клиента не поддерживает SHA256 и более надёжные 
> хэш-функции. Facebook планирует реализовать данный метод для всех своих сайтов, а 
> CloudFlare для всего трафика своих клиентов. К инициативе также подключился китайский 
> портал Alibaba.

> Для более широкого распространения данной идеи предложено изменить требования (https://cabforum.org/baseline-requirements/) 
> к удостоверяющим центрам, введя в обиход новый класс сертификатов LV (Legacy 
> Validated), заверенных с использованием SHA-1. При этом LV-сертификат можно будет выдавать 
> только в том случае, если организация уже имеет сертификат на базе 
> SHA256 и продемонстрировала его использование для современных браузеров.

> URL: https://googleonlinesecurity.blogspot.ru/2015/12/an-update-on-sha-1-certificates-in.html 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=43565

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру