Планы Maxthon относительно сертификатов SHA-1 и SHA-2

  • Некоторое время назад стало известно, что Google собирается отмечать http-сайты как потенциально небезопасные. Параллельно с этим разгорался скандал с китайским WoSign, который то ли из-за дыры в системе, то ли из-за банальной глупости выдавал сертификаты и фейковым сайтам. Mozilla тогда намеревалась просто отказаться от их сертификатов и отмечать такие сайты как потенциально небезопасные. Но и сами алгоритмы шифрования не совершенны, со временем они устаревают, и наличие сертификата безопасности уже не подтверждает надёжность соединения. Вот о таком случае и пойдет речь. Перевод статьи о планах Maxthon отказаться от поддержки стандарта SHA-1 в пользу SHA-2 из официального блога компании.

Планы Maxthon относительно сертификатов SHA-1


Алгоритм криптографического шифрования SHA (Secure Hash Algorithm) был выбран американским Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) в качестве федерального стандарта отработки информации (U.S. Federal Information Processing Standard, FIPS), а SHA-1 (часть семейства SHA) активно используется и организациями, выдающими сертификаты безопасности (Certification Authorities, CAs), и администраторами сайтов, получающих SSL-сертификаты.

Однако ещё в 2005 специалисты по шифрованию обнаружили в SHA-1 ряд проблем и доказали, что SHA-1 не может считаться достаточно безопасным. Сейчас, когда компьютеры работают быстрее, а интернет становится всё дешевле, отказ от SHA-1 и переход к SHA-2 - это лишь вопрос времени. Согласно рекомендациям NIST доверять сертификатам SHA-1 не следовало уже с 2014.

Поскольку главным средством выхода во всемирную всегда были браузеры, именно они несут ответственность за создание безопасной интернет-среды. Microsoft и Google уже объявили, что собираются отказаться от SHA-1. Мы в Maxthon согласны с коллегами по рынку и мы также приняли решение отказаться от поддержки устаревших сертификатов SHA-1 в наших браузерах.


Некоторые детали


22 декабря 2016 мы выпустим обновление для пятой версии браузера Maxthon - MX 5.0.2.1000 (даже если что-то пойдет не так и дата выхода изменится, это всё равно произойдет не позже 1 января 2017). Начиная с данной версии все сайты, использующие сертификаты SHA-1, будут промаркированы специальным индикатором. Такие сайты продолжат работу, и пользователи по-прежнему смогут их посещать, но уже на свой страх и риск.

Поскольку ваша безопасность и конфиденциальность являются нашим приоритетом, мы уже усовершенствовали собственную систему проверки безопасности (Maxthon Internet Authority), и теперь она поддерживает сертификаты, выданные многими сторонними организациями. Другими словами, с выходом MX 5.0.2.1000 уже существующий проверка безопасности сайтов в Maxthon будет дополнена более пристальным вниманием к сертификатам, использующим алгоритмы SHA.

HTTPS-сайты


В MX 5.0.2.1000 и последующих версиях сайты, использующие SSL-сертификаты с сигнатурами SHA-1, считаются "небезопасными" и будут отмечены специальным красным замком, независимо от того, считает ли их таковыми собственная система проверки сайтов браузера:


Сайты, использующие SSL-сертификаты с сигнатурами SHA-2, считаются "безопасными" и отмечаются зеленым замком:


Однако, если сайт использует SSL-сертификаты с сигнатурами SHA-2, срок действия которых уже истек, сайт будет отмечен красным замком, то есть как "небезопасный":



HTTP-сайты


К http-сайтам проверка SHA-сигнатур применяться не будет, и браузер ограничится лишь собственной системой проверки безопасности сайтов, основанной на информации сторонних компаний, занимающихся проверкой сайтов:


Мы надеемся, что этот шаг привлечёт внимание пользователей к проблеме безопасности в интернете и создаст условия для более безопасного сёрфинга. Рекомендуем компаниям, выдающим сертификаты, переходить на более надёжные стандарты.

Примечание:
Позднее мы добавим предупреждение о том, что сайт может быть небезопасен, и в инструменты разработчика. Оставайтесь с нами!

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via GoogleYandexBing or Promt
English translation

Комментарии

Популярные сообщения из этого блога

Расширяем функционал браузера без расширений

Почему браузер закрывается без причины? Советы от разработчиков Maxthon

Быстрый перевод без установки дополнительных расширений