SHA-1 do wymiany

Początek roku przyniesie nam spore zamieszanie w obszarze certyfikatów webowych. Wiele firm korzysta wewnętrznie z urzędów certyfikacji, które zostały zainstalowane kilka, a nawet kilkanaście lat temu, z domyślnym podpisem SHA-1, który od kilku lat jest uznawany za niewystarczający. Producenci przeglądarek od jakiegoś czasu zaczęli ostrzegać użytkowników o tym, że takie certyfikaty są potencjalnie niepoprawne (np. Chrom już od wersji 39 wyświetla ostrzeżenia o błędach certyfikatu). Aktualna wersja (Chrome 50) wyświetla informację, że o błędnym certyfikacie.

Jednak sytuacja diametralnie zmieni się w najbliższych tygodniach. Google ogłosił, że nowa wersja Chrome 56, planowana na koniec stycznia 2017 nie będzie otwierać stron zabezpieczonych certyfikatem z SHA-1.
Podobnie Firefox ogłosił politykę wygaszania wsparcia dla SHA-1, Nowa wersja Firefox 51, planowana do dystrybucji, podobnie jak Chrome 56 w styczniu 2017 ma również blokować dostęp do stron zabezpieczonych certyfikatem wystawionym przez urząd główny z SHA-1.

Co prawda można użyć polis konfiguracyjnych, które pozwolą na dalsze użycie takich certyfikatów, ale nie będzie to dla standardowych użytkowników takie proste.

Do tego trendu dołączył Microsoft, ogłaszając, że w dniu 14 lutego 2017 zostanie wydana poprawka dla przeglądarek Internet Explorer i Edge, która zacznie wyświetlać okno z informacją, że certyfikat jest niezaufany, a w kolejnym kroku blokada będzie całkowita.

Dokładniejsza informacja na ten temat opublikowana została na stronach Technetu.

Jak się ustrzec przed takimi problemami? Nie pozostaje nic innego niż zmienić certyfikat swojego urzędu certyfikacji, wykorzystując SHA-256 (pamiętajmy o tym że TLS 1.0-1.2 nie wspierają mocniejszych podpisów jak np. SHA-512, więc ustawienie bardzo mocnego algorytmu też nie jest zalecane). Instrukcja jak to zrobić, dostępna jest na stronach Microsoftu, a także na wielu innych blogach.