Microsoft har for nylig annonceret deres planer om at opgive understøttelse af TLS-certifikater underskrevet af SHA -1 hashing-algoritmen fra februar 2017. Microsoft erkendte endvidere, at adskillige websteder, brugere og tredjepartsapplikationer vil blive hårdt ramt, når virksomheden beklager SHA-1 underskrevne certifikater.
Begynder den 14. februarth, 2017, Microsoft Edge og Internet Explorer 11 forhindrer websteder, der er beskyttet med en SHA-1 certifikat fra indlæsning og viser en ugyldig certifikatadvarsel. Selvom vi kraftigt fraråder det, vil brugerne have mulighed for at ignorere fejlen og fortsætte til webstedet, sagde Microsoft i blogindlæg..
Åbenbaringen er ikke ligefrem nyhed: virksomheden antydede lige så meget tilbage i november.
SHA-1 hashing-algoritmen, der bruges til internetsikkerhed i forbindelse med HTTPS-protokollen og certifikater, der bruges til at beskytte websteder, er blevet erklæret usikker og sårbar over for angreb fra velfinansierede modstandere tilbage siden 2005, men blev stort set brugt før indtil SHA -2 og SHA-3 algoritmer, der blev testet for at være mere sikre alternativer, kom til hashing-funktionaliteter. Initiativet er ikke nyt, og funktionen er tidligere blevet fordømt og afvist af Google og Mozilla for at være mere tilbøjelige til kryptografiske kollisioner end estimeret.
Microsoft har detaljeret, at deres browsere, Edge og Internet Explorer, nu forhindrer websteder, der bruger SHA-1-signerede certifikater, fra at indlæses og vil vise en advarsel om "ugyldigt certifikat" for at gendanne sikkerhed tilbage til tjenesterne. Selvom brugerne ikke vil blive tvunget til at springe over siderne, har de muligheden for at omgå truslen og få adgang til det potentielt sårbare websted på trods af advarslen, bare uden tillidsikonet "bar lock", som brugerne ser i adresselinjen i deres browsere.
Tredjeparts Windows-applikationer, der kører Windows SHA-1 kryptografisk API-sæt eller tidligere versioner af Internet Explorer, påvirkes ikke af disse ændringer.