Планы Maxthon относительно сертификатов SHA-1 и SHA-2

• Некоторое время назад стало известно, что Google собирается отмечать http-сайты как потенциально небезопасные. Параллельно с этим разгорался скандал с китайским WoSign, который то ли из-за дыры в системе, то ли из-за банальной глупости выдавал сертификаты и фейковым сайтам. Mozilla тогда намеревалась просто отказаться от их сертификатов и отмечать такие сайты как потенциально небезопасные. Но и сами алгоритмы шифрования не совершенны, со временем они устаревают, и наличие сертификата безопасности уже не подтверждает надёжность соединения. Вот о таком случае и пойдет речь. Перевод статьи о планах Maxthon отказаться от поддержки стандарта SHA-1 в пользу SHA-2 из официального блога компании.

Планы Maxthon относительно сертификатов SHA-1

Алгоритм криптографического шифрования SHA (Secure Hash Algorithm) был выбран американским Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) в качестве федерального стандарта отработки информации (U.S. Federal Information Processing Standard, FIPS), а SHA-1 (часть семейства SHA) активно используется и организациями, выдающими сертификаты безопасности (Certification Authorities, CAs), и администраторами сайтов, получающих SSL-сертификаты.

Однако ещё в 2005 специалисты по шифрованию обнаружили в SHA-1 ряд проблем и доказали, что SHA-1 не может считаться достаточно безопасным. Сейчас, когда компьютеры работают быстрее, а интернет становится всё дешевле, отказ от SHA-1 и переход к SHA-2 - это лишь вопрос времени. Согласно рекомендациям NIST доверять сертификатам SHA-1 не следовало уже с 2014.

Поскольку главным средством выхода во всемирную всегда были браузеры, именно они несут ответственность за создание безопасной интернет-среды. Microsoft и Google уже объявили, что собираются отказаться от SHA-1. Мы в Maxthon согласны с коллегами по рынку и мы также приняли решение отказаться от поддержки устаревших сертификатов SHA-1 в наших браузерах.

Некоторые детали

22 декабря 2016 мы выпустим обновление для пятой версии браузера Maxthon - MX 5.0.2.1000 (даже если что-то пойдет не так и дата выхода изменится, это всё равно произойдет не позже 1 января 2017). Начиная с данной версии все сайты, использующие сертификаты SHA-1, будут промаркированы специальным индикатором. Такие сайты продолжат работу, и пользователи по-прежнему смогут их посещать, но уже на свой страх и риск.

Поскольку ваша безопасность и конфиденциальность являются нашим приоритетом, мы уже усовершенствовали собственную систему проверки безопасности (Maxthon Internet Authority), и теперь она поддерживает сертификаты, выданные многими сторонними организациями. Другими словами, с выходом MX 5.0.2.1000 уже существующий проверка безопасности сайтов в Maxthon будет дополнена более пристальным вниманием к сертификатам, использующим алгоритмы SHA.

HTTPS-сайты

В MX 5.0.2.1000 и последующих версиях сайты, использующие SSL-сертификаты с сигнатурами SHA-1, считаются "небезопасными" и будут отмечены специальным красным замком, независимо от того, считает ли их таковыми собственная система проверки сайтов браузера:

Сайты, использующие SSL-сертификаты с сигнатурами SHA-2, считаются "безопасными" и отмечаются зеленым замком:

Однако, если сайт использует SSL-сертификаты с сигнатурами SHA-2, срок действия которых уже истек, сайт будет отмечен красным замком, то есть как "небезопасный":

HTTP-сайты

К http-сайтам проверка SHA-сигнатур применяться не будет, и браузер ограничится лишь собственной системой проверки безопасности сайтов, основанной на информации сторонних компаний, занимающихся проверкой сайтов:

Мы надеемся, что этот шаг привлечёт внимание пользователей к проблеме безопасности в интернете и создаст условия для более безопасного сёрфинга. Рекомендуем компаниям, выдающим сертификаты, переходить на более надёжные стандарты.

Примечание:
Позднее мы добавим предупреждение о том, что сайт может быть небезопасен, и в инструменты разработчика. Оставайтесь с нами!

За сим всё...

Рассказать друзьям через AddThis или Shareaholic
Translate via Google, Yandex, Bing or Promt
English translation

• All English notes
• All Russian notes