TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Konec podpory hash algoritmu SHA-1 není novinkou, avšak proces ukončení výrazně zrychlil Google díky svému prohlížeči Chrome. V nejbližších týdnech je třeba zkontrolovat své certifikáty. V tomto článku se dozvíte, zdali se vás problém týká a jak ho vyřešit.
Co je to SHA-1 a kde se používá?
Pod zkratkou SHA se ukrývá termín Secure Hash Algoritm a jedná se o často používanou hašovací funkci. Haš (anglicky hash) nebo též otisk je unikátní "sádrový odlitek" dat, který vystihuje jejich konkrétní podobu. Pokud se data pozmění, nebude ano otisk stejný. Pomoci hashe můžete zkontrolovat, zda nebyla data změněna.
Proč najednou změna hash algoritmu?
Veškeré algoritmy užívané v oblasti šifrování a bezpečnosti jsou založeny na určitém matematickém schématu, které je složité vyřešit. Předpokládá se, že není v lidských ani technických možnostech výpočetně tyto algoritmy prolomit.
Nicméně s vývojem výpočetního výkonu počítačů a možností si výkon pronajmout tyto algoritmy zastarávají. Je tedy nutné je jednou za čas vyměnit za silnější. Buď matematicky složitější, nebo v případě šifrování použití delších klíčů.
Nastává otázka, kdy je správný okamžik pro změnu. Většinou se životnost algoritmu řídí doporučením úřadů pro standardizaci. Jedním z nich je americký NIST - National Institute of Standards and Technology. Ten nedoporučil používat SHA-1 po roce 2013, takže není divu, že o jeho nahrazení začaly uvažovat i výrobci software.
Co změna znamená pro majitele SSL certifikátů?
Většina uživatelů SSL certifikátů od SSLmarket může být v klidu, zejména pokud je nemají na více let a certifikát neexpiruje v roce 2017 či později. Případné prodloužení už doporučujeme provést s využitím SHA-2 algoritmu, nebo si certifikát nechat přegenerovat (znovu vystavit). Samozřejmě si nemusíte kupovat certifikát nový, například u nás si ho stačí zdarma vystavit znovu. Pokud jej máte u jiných poskytovatelů. Můžete se zkusit zeptat jejich podpory, jak na to.
Chrome bude u SHA-1 certifikátů zobrazovat varování. Jaké?
Prohlížeč Google Chrome začne ve verzích 39-41 upozorňovat na SHA-1 certifikáty, jejichž platnost je v roce 2017 a později. Google nechce, aby se po roce 2016 více SHA-1 certifikáty používaly. Více na blog.sslmarket.cz/google-chrome-a-sha-1
Microsoft také končí s podporou SHA-1. Kdy se tak stane?
Společnost Microsoft přestane ve svých produktech SHA-1 certifikáty (včetně Code Signing) podporovat po roce 2016 (tedy od 1.1.2017). Code signing bez časového razítka nebude systém akceptovat po 1.1.2016. Microsoft chce, aby certifikační autority přestaly po 1.1.2016 vystavovat SSL certifikáty s SHA-1.
Kompletní stanovisko Microsoftu najdete na jejich PKI blogu v článku SHA1 Deprecation Policy.
Budou i intermediate certifikáty s SHA-2?
Certifikační autority dávají samozřejmě k dispozici i nové intermediate certifikáty využívající SHA-2. Pokud byl váš certifikát vydán s SHA-2, zasíláme jej přímo v emailu o vystavení. SSLmarket garantuje správnost a aktuálnost intermediate certifikátů pro každou objednávku. Systémy certifikačních autorit jsou od 15.9.2014 připraveny vyřizovat požadavky na reissue a vracet správné SHA-2 intermediate certifikáty.
Stáhnout je můžete i přímo z webu certifikačních autorit. Jejich kompletní seznam i s odkazy pro stažení najdete jednoduše na www.blog.sslmarket.cz/nahrazeni-sha-1-certifikatu
Intermediate certifikáty mohou obecně využívat jak SHA-1 kořenový certifikát autority, tak i SHA-2. Obě verze naleznete na výše uvedených odkazech. Chain - řetěz důvěry - je potom dvojí - jeden pro SHA-1 root a jiný pro SHA-2 root CA certifikát.
Mohou mít někteří návštěvníci problém s SHA-2 certifikátem?
Problém mohou mít jen návštěvníci s velice zastaralým softwarem. Příkladem jsou Windows XP se SP2, podpora pro SHA-2 byla doplněna v SP3. Android podporuje SHA-2 od verze 2.3.
Mohu si otestovat podporu SHA-2 certifikátů v prohlížeči?
Ano, například můžete použít speciální testovací stránku Symantec SHA256 SSL Page. Pokud se v prohlížeči zobrazí, je kompatibilní s SHA-256.
Tento článek připravil Jindřich Zechmeister, Specialista pro bezpečnostní SSL certifikáty ve firmě Zoner provozující projekt SSLmarket.cz.
