Компания
109,07
рейтинг
31 октября 2014 в 09:46

Разное → Центры SSL-сертификации о нововведениях с SHA-2

Ранее в статье я рассказывал о том, что будет происходить с поддержкой браузерами от Mozilla, Google и Microsoft алгоритма шифрования SHA-1, используемого для генерации SSL-сертификатов и их подписи. Напомню, компания Microsoft несколько ультимативно дала понять центрам сертификации то, что они должны отказаться от использования SHA-1 («CAs must stop issuing new SHA1 SSL…») и перейти на более современные и криптостойкие алгоритмы. И сегодня мы рассмотрим, как на это отреагировали сами центры сертификации, и как это скажется на владельцах SSL-сертификатов.



Приведу информацию от некоторых крупных центров сертификации, которую они опубликовали на своих сайтах:

GoDaddy
«В обязательном порядке отзывают все сертификаты SHA-1 для их перевыпуска с использованием SHA-2. Все новые сертификаты со сроком окончания на дату от 1 января 2017 г. уже будут использовать только SHA-2. Остальные новые сертификаты также будут использовать SHA-2 Сертификаты подписания кода (Code-signing), чей срок истекает после 31 декабря 2015 г. должны использовать SHA-2.»

Comodo
«Начиная с 8 сентября 2014 г. Comodo стали выпускать сертификаты с SHA-2 по умолчанию.В зависимости от даты окончания действия сертификата владельцы последних будут уведомлены о замене сертификатов с SHA-1 на те, что созданы с использованием SHA-2.
Также центр сертификации Comodo опубликовал график своего ухода от использования SHA-1.

  • 8 сентября 2014 г. Все нынешние владельцы SSL-сертификатов могут заменить свой сертификат с SHA-1 на такой же, но с SHA-2. Сделать это можно авторизовавшись в личном кабинете, перейдя в заказ сертификатов и используя возможность «Replace Certificate».
  • 8 сентября 2014 г. Comodo начинает выпускать SHA-2 сертификаты по умолчанию. Но предоставляет возможность выбирать при заказе сертификат с SHA-1, если это действительно нужно. Если при заказе не будет выбрана возможность SHA-1, то будет выслан сертификат с SHA-2.
  • 22 сентября 2014 г. Comodo стали выпускать SSL-сертификаты, срок действия которых истекает после 2016 года только с использованием SHA-2.
  • 1 января 2016 г. Comodo больше не поддерживает подписи или сертификаты, основанные на SHA-1.


Сертификаты, чей срок действия истекает после 2016 года, Comodo бесплатно перевыпускает с использованием алгоритма хэширования SHA-2.»

Verisign/Symantec
«Владельцам сертификатов следует начать перевыпуск сертификатов до ноября 2014 года. Перевыпустить следует все сертификаты со сроком действия до 1 января 2016 года. SHA-1 можно будет выпустить, но только сроком до 31 декабря 2015 года.»

Судя по информации на сайте https://shaaaaaaaaaaaaa.com/, где содержится наиболее актуальная информация по центрам сертификации, можно сказать, что в большинстве своем, компании отреагировали адекватно и своевременно. Предложили своим клиентам возможность бесплатно перевыпустить уже используемые сертификаты. Некоторые из центров временно оставили возможность выпустить сертификаты с использованием алгоритма хэширования SHA-1.

Помимо вышеуказанного сайта, проверить SSL-сертификат сайта можно сервисом от Symantec:
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
Автор: @vadim_s_sabinich

Комментарии (9)

  • 0
    Переходили бы уже сразу на SHA-3
    • 0
      Мне тоже стало интересно, почему при наличии готового алгоритма кечак, который стал победителем конкурса на крипто-алгоритмы еще в 2012 году, решили не перескочить через SHA-2 сразу на SHA-3, если его можно так назвать, и не париться.
      • 0
        Совместимость, судя по всему. SHA2 (кроме SHA512) уже давно всеми неплохо поддерживается, на сайт с SHA3 некоторые клиенты просто не смогут зайти.
        • 0
          На SHA2 тоже некоторые зайти не смогут, с WinXP без SP3 например. Удивительно, но такие есть.
          • +2
            Те, для кого критична безопасность (SSL и иже с ними), не будут пользоваться системой без последних обновлений безопасности, которым и является SP3.
            • +5
              В идеальном мире — конечно. Но в реальном клиенты (настоящие, с деньгами) могут приходить с совершенно чудовищными версиями софта…
      • НЛО прилетело и опубликовало эту надпись здесь
    • +1
  • 0
    Когда ispmgr начнет генерировать сертификаты в SHA2?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное