I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1.
I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili.
Dal primo di gennaio del 2016 nessuna CA pubblica può più rilasciare certificati con hash SHA-1. Le CA utilizzate internamente nelle organizzazioni non soni interessate, ovviamente, da questo divieto.
Durante il 2016 i browser che non lo fanno già inizieranno a segnalare che i certificati con hash SHA-1 sono poco o per nulla attendibili.
Dal 2017 SHA-1 sarà considerato non attendibile.
Attraverso Shaaaaaaaaaaaaa è possibile verificare il tipo di hash utilizzato dal certificato di un sito. Il software utilizzato da Shaaaaaaaaaaaaa è pubblico, quindi è possibile eseguire i test direttamente dal proprio computer.
Il percorso di obsolescenza di SHA-1 di Chrome prevede questi comportamenti:
- I siti con certificato firmato da SHA-1 la cui scadenza è entro il 31/12/2016 verranno indicati come sicuri, ma con errori (appare un triangolo giallo sopra “https” nella barra dell’indirizzo).
- I siti con certificato firmato da SHA-1 la cui scadenza è dal 1/1/2017 in avanti verranno indicati come non sicuri (la scritta “https” è rossa e cancellata), esattamente come i certificati auto-emessi. Questo comportamento si verifica anche se c’è un certificato firmato con SHA-1 nella catena di verifica del certificato.
Firefox adotta un comportamento analogo:
- Viene mostrata una pagina di connessione non sicura (come un certificato auto-emesso) quando un sito utilizza un certificato con hash SHA-1 emesso dopo il 1/1/2016
- A partire dal 1/1/2017 viene mostrata una pagina di connessione non sicura quando un sito utilizza un certificato con hash SHA-1
Il calendario di Microsoft è leggermente diverso:
- Dalla Windows 10 Anniversary Update i siti con firma SHA-1 non producono errori, ma non visualizzano più il lucchetto di sicurezza sulla barra dell’indirizzo.
- Dal 14/2/2017 i certificati SHA-1 non sono più considerati validi, Questo varrà sia per i siti sia per le firme digitali delle applicazioni che vengono installate. La data del 14 febbraio è motivata non tanto dal fatto che a Redmond sono dei romanticoni, quanto dal fatto che è il secondo martedì di febbraio.
Questi comportamenti possono interessare anche i certificati di CA interne alle organizzazioni. Chi ha una CA interna dovrebbe utilizzare i tool di Shaaaaaaaaaaaaa per eseguire delle verifiche e pianificare la migrazione verso algoritmi di hash non obsoleti.
Una risposta a “Obsolescenza di SHA-1”
[…] Obsolescenza di SHA-1 #:sicurezza, spionaggio ::: SIAMO GEEK […]