继微软和Mozilla之后,Google也终于发布了一个修改后的“SHA-1签名证书支持截止日期”。根据该公司安全主题博客上近日发表的一篇文章,Chrome浏览器会在2016年1月1日起显示一个“证书错误”的提示,即所有SHA-1证书将被所有版本的Chrome浏览器所屏蔽。Google Chrome团队的Lucas Garron和David Benjamin解释到: 近期的一份研究报告指出,SHA-1加密已不再安全。 “与Microsoft Edge和Mozilla Firefox一样,预定[封阻SHA-1证书]的期限也是2017年1月1日,不过根据正在进行的研究,我们正考虑将之提前至216年7月1日”。 这份让三大主流浏览器厂家都作出决定的研究报告,来自芬兰、荷兰、以及新加坡的三名研究人员。研究指出,其能够通过比以往设想的更低的硬件资源、和一个可接受的价格(比最初估计低得多),实现对SHA-1算法的破解。 鉴于破解SHA-1的服务器成本仅在7.5万到12万美元之间,网络犯罪团体和受资助的组织将可轻松担负起这样的攻击。对于那些仍在使用SHA-1证书的企业,研究人员敦促它们尽快升级。 在三家浏览器厂商中,反应最快的是Mozilla。仅在1周之后,它就宣布了会在2017年1月1日斩断对SHA1证书的支持。如果传出更暴力的新算法,它还有望提前至2016年7月1日。 两周之后,Microsoft Edge团队也紧随Mozilla的步伐而宣布了同样的两个日期。不过考虑到部分旧版浏览器的用户,Facebook和CloudFlare希望企业能继续提供对SHA-1的支持。 [编译自:Soft Pedia, 来源:Google Online Security] 相关文章: 紧随Mozilla:微软计划提前放弃对SHA-1证书的支持 Facebook警告称:SHA1的落幕将对数千万网民产生影响
