谷歌、Mozilla之后，微軟也宣布將于2017年2月14日起正式停止接受SHA-1 TLS證書，將涉及Microsoft Edge和Internet Explorer11瀏覽器。與此同時另一大瀏覽器提供商Mozilla也表示，F(xiàn)irefox將在今年春天完全取消對SHA-1證書的支持。被三大主流瀏覽器所拋棄，主要瀏覽器開發(fā)商正在競相推動網(wǎng)站用SHA-2替代SHA-1算法簽名證書。Mozilla將成為第一家對SHA-1證書發(fā)出警告的主要瀏覽器開發(fā)商。SHA-1算法簽名的證書已經(jīng)不再安全，它容易受到碰撞攻擊（collision attacks）和偽造證書。主要瀏覽器開發(fā)商都制定了淘汰SHA-1證書的計劃。這意味著這個取代了MD5的加密算法要加速退役了。

當(dāng)你瀏覽一個“安全”的網(wǎng)頁的時候，你是否注意到在地址欄里的小鎖？這是一顆給在互聯(lián)網(wǎng)驚濤駭浪里顛簸的個人的定心丸——安全證書，https通信，加密算法等等這些要素的組合在時刻盡自己的努力保護著我們的信息安全。

證書宣稱的安全是用戶看到的表面，加密算法是其下面的核心。所以，誰頒發(fā)的安全證書？這個證書基于什么算法？這些其實都是瀏覽器在加載一個https打頭的網(wǎng)址之前進行判斷的，如果它們認為為網(wǎng)站提供證書，擔(dān)保安全的證書商可信，證書的加密算法也具有安全效力，便會直接放行，要是它們認為兩者之間的任何一個不可信，你會看到下面這樣的提示：

偽造安全證書并偽造安全連接，盜取用戶信息是針對這類證書的攻擊的常見方法，一旦一個算法被黑客攻破，那采用這個算法的證書就無法保證安全了。就SHA-1而言，事實上Google表示早在11年前，這個算法就被發(fā)現(xiàn)有漏洞，隨著計算能力的快速增長，破解它也變得更加容易。但由于很長時間內(nèi)缺乏更合適的替代者，所以SHA-1一直服役到了現(xiàn)在，期間還確實引發(fā)了Dropbox用戶信息泄漏這樣的安全事件，更加讓人擔(dān)心的是SHA-1證書近年來還被Wosign和Startcom這樣的證書商簽出了不少，留下了很多安全隱患。

不提Wosign自身的問題，SHA-1的確在越來越險惡的環(huán)境里面顯得愈發(fā)脆弱，這是主流網(wǎng)頁瀏覽器提供方?jīng)Q定提早終止信任的原因，畢竟網(wǎng)頁瀏覽器是用戶與互聯(lián)網(wǎng)連接的一個重要通道，這個通道的安全，總要有人負起責(zé)任來。

cc

收藏 海報分享