Информационная безопасность
0,0
рейтинг
9 февраля 2015 в 12:02

Разработка → Почему вам надо обновить свои SSL сертификаты из песочницы



Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат».

Статья предназначена, в основном, для администраторов веб-серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным.

«При чем тут вообще хэширование? Сертификаты же основаны на ассиметричном шифровани», — скажут некоторые. Дело в том, что сертификат — это не просто открытый ключ с дополнительной информацией, но и подпись сервера, а для нее используется хэш-функция.

Стойкость хэш функции заключается в отсутствии коллизий. То есть, невозможность подобрать отличное от исходного сообщение с точно таким же значение хэша. Говоря проще и относительно сертификатов: хэш-функция — хорошая, если невозможно (следует читать «крайне трудно», так как ничего невозможного нет) подделать сертификат, но оставить ту же подпись удостоверяющего центра (УЦ). Таким образом, поддельный сертификат может получиться вполне валидным с точки зрения браузеров, операционных систем и вообще с точки зрения вполне вменяемой проверки. Так вот стойкость к коллизиям алгоритма SHA-1 под очень большим сомнением. Известный криптограф Брюс Шнайер рассчитал, что реализация атаки коллизии на SHA-1 будет вполне по силам организованной преступности уже к 2018 году.

Итак, мы подошли к тому, что в скором времени использовать SHA-1 для подписи сертификатов станет небезопасно. Ну и, конечно, заменить SHA-1 призван SHA-2. Microsoft и Google принимают некоторые шаги, чтобы ускорить процесс миграции на SHA-2.

Google


В ближайшей версии браузера Chrome под номером 41 будет такая реакция на сертификаты, использующие SHA-1:
  1. Если дата окончания срока жизни сертификата после 2016 года, то пользователь увидит красный крест на замочке и перечеркнутую надпись https.
  2. Если сертификат заканчивается в 2016 году, то на замочке будет предупредительный желтый треугольник.


Microsoft


Если ваш сертификат, использующий SHA-1 для подписи, заканчивается в 2017 году или позднее, то вам придется его менять досрочно. Причем это касается не только сертификатов веб-серверов, но и сертификатов для подписи кода. Кроме того, с начала 2016 года Microsoft перестает доверять сертификатам с SHA-1, которые используются для подписи кода без отпечатка времени.

Что делать?


Ответ простой. Если вы хотите, чтобы пользователи вашего интернет магазина или корпоративного портала не закрывали в ужасе страницу с ошибкой сертификата, обновите его заблаговременно.

Стоит учитывать, что для успешной валидации сертификата нужно, чтобы все сертификаты в цепочке использовали SHA-2. А вот если корневой УЦ использует SHA-1, то сильно беспокоиться не стоит, ведь браузеры не проверяют подпись сертификатов корневых доверенных УЦ, а просто ищут их в соответствующем списке.
Николай Корабельников @nmk2002
карма
11,0
рейтинг 0,0
Информационная безопасность
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (8)

  • +3
    Ну 10 раз же уже разжевали на хабре…
  • +26
    Тогда передайте вашему веб админу наконец, чтобы обновил сертификат на внутреннем ресурсе.
    скриншот

  • 0
    Ну вот я обновил и настроил на A+. Но только вот мой банк имеет B-. А у моего клиента вообще при HTTPS запросе возвращается сертификат сайта, хостящегося на том же сервере и заглушка от дебиановского lighthttpd. И они не читают хабр.
    • 0
      Свою часть добра вы сделали.
  • 0
    Альфа-банк днище. Объявили о прекращении поддержки браузеров, не умеющих SHA-2, а сами снова получили сертификат SHA-1.

    Ну тупыыые…
    image
    image
    • +1
      Вроде сейчас у них сертификат, выданный 3 февраля 2015 с ключем 2048 и SHA-256. Наверное, исправились.
      скриншот

  • 0
    Поболе картинки-то не нашлось? В RSS оно на полэкрана.
    • 0
      Заменил картинку. Надеюсь, сейчас лучше.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.