在主要浏览器禁用后,SHA-1 使用量得到了下降

局长
 局长
发布于 2016年10月24日
收藏 7

在 Mozilla 宣布计划阶段性废弃 SHA-1 算法签名的证书一年后,SHA-1 的使用量得到了显著下降。据 Firefox 的数据看,使用量从去年的 50% 降至今年三月的 3.5%,而到这个月仅占到加密流量的 0.8%。

Mozilla 最近宣布,从 Firefox 51 开始,该浏览器将对 SHA-1 签名的证书显示“不可信的连接”错误信息。Firefox 51 将发布于 2017 年 1 月,Mozilla 最初计划于 2017 年初拉黑 SHA-1 证书。

Mozilla 率先推动了 SHA-1 废弃

在去年秋天荷兰和法国的大学研究人员们发现可以非常容易地破解 SHA-1 加密后, Mozilla 率先推动了 SHA-1 废弃的活动。

在 Mozilla 制定了其阶段性废弃 SHA-1 算法的时间表之后,谷歌微软也跟着做了相同的决定,这些计划得到了 NIST 的支持。从 2016 年元旦开始,浏览器厂商们就禁用了之后新签发的 SHA-1 签名的 SSL/TLS 证书。

SHA-1 废弃基本上完成了

即便是有一些例外,甚至还有一些争议,但是在多数情况下,CA 厂商们都遵从了此次 SHA-1 禁用行动,SHA-1 市场份额的降低表明了他们的工作成果。

如今,之前签发的使用 SHA-1 签名的旧证书仍然被标为可信,但是从 2017 年元旦开始,浏览器厂商们就会将这类证书标为不可信,无论其签发日期是何时。

Mozilla 的加密工程师 J.C. Jones 说,特殊情况下,比如在内部站点或其它封闭性网络内,如果 SHA-1 证书是由手动导入的根证书签发的,Firefox 不会显示该警告。

在 2015 年底,Facebook 和 Cloudflare 提议允许 CA 厂商们为那些不支持 SHA-2 和其它算法的老浏览器签发 SHA-1 证书,但是这个倡议基本上没得到响应,尽管这有一定的意义。

编译自:http://news.softpedia.com/news/sha-1-usage-decreases-after-browser-vendor-ban-509415.shtml

作者: Catalin Cimpanu 译者: wxy

来自:Linux中国

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:在主要浏览器禁用后,SHA-1 使用量得到了下降
加载中

最新评论(6

狂飙的小蜗牛
狂飙的小蜗牛

引用来自“庄志浩”的评论

12306好像还是sha-1

引用来自“狂飙的小蜗牛”的评论

12306还是自己签发的根证书,安全性还不如不用HTTPS,诱导用户安装根证书肯定有不可告人的目的。。。

引用来自“庄志浩”的评论

自签我知道,但是不知道为什么没安装他的根证书也可以用
Google默认打不开,需要手动点击访问,国产套皮浏览器都做了处理,直接放行了,12306支付页面使用的合法证书。。。(符合中国特色)
zhihaofans
zhihaofans

引用来自“庄志浩”的评论

12306好像还是sha-1

引用来自“狂飙的小蜗牛”的评论

12306还是自己签发的根证书,安全性还不如不用HTTPS,诱导用户安装根证书肯定有不可告人的目的。。。
自签我知道,但是不知道为什么没安装他的根证书也可以用
zhihaofans
zhihaofans

引用来自“庄志浩”的评论

12306好像还是sha-1

引用来自“失落之塔”的评论

自签名证书
自签只能sha-1吗?chrome一直警告sha-1不安全好不爽啊
狂飙的小蜗牛
狂飙的小蜗牛

引用来自“庄志浩”的评论

12306好像还是sha-1
12306还是自己签发的根证书,安全性还不如不用HTTPS,诱导用户安装根证书肯定有不可告人的目的。。。
失落之塔
失落之塔

引用来自“庄志浩”的评论

12306好像还是sha-1
自签名证书
zhihaofans
zhihaofans
12306好像还是sha-1
返回顶部
顶部