Twitter、Facebook:不宜过快弃用 SHA-1 证书
2015-12-31 07:00
441 查看
研究人员已经证明了要攻破 SHA-1 算法正变得越来越容易、所需成本也更低,所以就有了 SHA-1 将终结的说法。这也让很多浏览器厂商,如 Mozilla、微软和谷歌,在浏览器中将 SHA-1 签名的 SSL/TLS 证书标注为不安全,甚至最终阻止用户连接采用这种过时证书的站点。
浏览器厂商在很快做出回应以后,主要相关互联网服务的厂商们也做出了回应。不过这些服务和内容提供商的回应是不一样的,比如首先做出回应的互联网最大 CDN 之一的 CloudFlare,据他们所说,约有3700万用户还在用老旧的设备和浏览器,无法支持更安全的 SHA-2 证书,要宣布很快弃用 SHA-1 是不合理的,Facebook 也快速表示了支持。
考虑到 SHA-1 的确已经不安全了,但基于过渡的考量,这两家提出了一个倡议计划,就是继续让 CA 颁发新的 SHA-1 证书,但要求相应站点能够证明他们会优先使用 SHA-2,而 SHA-1 证书仅作为备选方案,给那些由于技术原因或经济考量,无法使用支持 SHA-2 浏览器或设备的用户使用。
Twitter 刚刚也加入到 Facebook 和 CloudFlare 的行列中,请求 CA/Browser forum 考虑到加快弃用 SHA-1 的不合理性,能够更为平缓地进行过渡,因为这可能导致数百万互联网用户没法访问安全的 HTTPS 站点。
有这样的考量,对服务和内容提供商而言,实际是从他们的利益出发的,因为根据 Twitter 的数据,大约有3%-6%的用户还在使用旧的设备和浏览器,显然弃用 SHA-1 也就意味着放弃这部分用户了。
很多网站是完全采用 HTTPS 的,越来越多的 web 服务也意识到快速转往 SHA-2 可能会流失一定的用户群体,所以他们加入这样的计划也就可以理解了。
浏览器厂商在很快做出回应以后,主要相关互联网服务的厂商们也做出了回应。不过这些服务和内容提供商的回应是不一样的,比如首先做出回应的互联网最大 CDN 之一的 CloudFlare,据他们所说,约有3700万用户还在用老旧的设备和浏览器,无法支持更安全的 SHA-2 证书,要宣布很快弃用 SHA-1 是不合理的,Facebook 也快速表示了支持。
考虑到 SHA-1 的确已经不安全了,但基于过渡的考量,这两家提出了一个倡议计划,就是继续让 CA 颁发新的 SHA-1 证书,但要求相应站点能够证明他们会优先使用 SHA-2,而 SHA-1 证书仅作为备选方案,给那些由于技术原因或经济考量,无法使用支持 SHA-2 浏览器或设备的用户使用。
Twitter 刚刚也加入到 Facebook 和 CloudFlare 的行列中,请求 CA/Browser forum 考虑到加快弃用 SHA-1 的不合理性,能够更为平缓地进行过渡,因为这可能导致数百万互联网用户没法访问安全的 HTTPS 站点。
有这样的考量,对服务和内容提供商而言,实际是从他们的利益出发的,因为根据 Twitter 的数据,大约有3%-6%的用户还在使用旧的设备和浏览器,显然弃用 SHA-1 也就意味着放弃这部分用户了。
很多网站是完全采用 HTTPS 的,越来越多的 web 服务也意识到快速转往 SHA-2 可能会流失一定的用户群体,所以他们加入这样的计划也就可以理解了。
相关文章推荐
- 【那些年我在燕园读过的书】
- 088_食物链问题(并查集)
- 几个著名的3D测试场景与模型
- Visual paradigm Db Archtecture Database config
- NSArray的使用
- mybatis-1
- 编译时异常 & 运行期异常
- codeforces 611B
- Reverse an ArrayList
- Binary Tree Zigzag Level Order Traversal
- appcompat_v7 报错 完美解决
- Win 10小娜给我快乐!
- maven
- Boost--内存管理--(1)智能指针
- MySQL Connector/Python 安装、测试
- python安装setuptools
- *Pow(x, n)
- 黑马程序员——常用API
- ImportError: cannot import name HTTPSHandler
- MySQL锁阻塞分析