В Chrome отключат поддержку SHA-1 для HTTPS

Еще два года назад подбор коллизии в SHA-1 стоил порядка 2 млн долл., к 2015 году эта планка уменьшится до 700 000 долл., к 2018 – до 173 000 долл., а к 2021 – до 43 000 долл. Это решение Google принято невзирая на то, что на подавляющем большинстве HTTPS-сайтов (в том числе и на сервисах Google) используются сертификаты, подписанные с помощью SHA-1. Форма проверки сертификатов на предмет использования SHA-1 и инструкция по переходу на SHA-2 уже доступны в свободном доступе в Сети.

Постепенный отказ от сертификатов, подписанных с помощью SHA-1, начнется в ноябре с выходом браузера Chrome 39. Первое время браузер ограничится предупреждениями, но продолжит воспринимать сертификаты с подписью SHA-1 валидными, при истечении срока их действия после 1 января 2017 года (такие сайты в адресной строке будут помечены статусом «безопасен, но есть незначительные проблемы»).

С выходом браузера Chrome 40 сайты с такими сертификатами начнут обозначать нейтральным индикатором, каким сегодня помечают сайты без шифрования. В первом квартале 2015 года выйдет Chrome 41, где для таких сайтов будет применяться пометка как для небезопасных.

Одновременно стоит вспомнить о результатах отключения в браузере Mozilla Firefox 32 доверия к 1 024-разрядным корневым сертификатам. Согласно собранным данным, в Сети все еще функционирует более 107 000 сайтов, которые подписаны с помощью 1 024-разрядных ключей. При этом только 30 000 сайтов в браузере Firefox получат пометку «небезопасные», тогда как остальные продолжат работать с просроченными сертификатами. Центры сертификации получили соответствующие уведомления еще в мае. Решением организации NIST 1 024-разрядные ключи RSA классифицируются устаревшими уже четвертый год, а с минувшего года они запрещены к применению.