Konec zabezpečení SHA-1 – co to pro nás znamená?
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Konec zabezpečení SHA-1 – co to pro nás znamená?Konec zabezpečení SHA-1 – co to pro nás znamená?

 
Hledat
Vybavení pro Laser Game
Spuštěn Filmový magazín
Laser Game Brno
Laser Game Ostrava

Konec zabezpečení SHA-1 – co to pro nás znamená?

Google       22. 1. 2015       9 536×

Konec podpory hash algoritmu SHA-1 není novinkou, avšak proces ukončení výrazně zrychlil Google díky svému prohlížeči Chrome. V nejbližších týdnech je třeba zkontrolovat své certifikáty. V tomto článku se dozvíte, zdali se vás problém týká a jak ho vyřešit.

Reklama
Reklama

Co je to SHA-1 a kde se používá?

Pod zkratkou SHA se ukrývá termín Secure Hash Algoritm a jedná se o často používanou hašovací funkci. Haš (anglicky hash) nebo též otisk je unikátní "sádrový odlitek" dat, který vystihuje jejich konkrétní podobu. Pokud se data pozmění, nebude ano otisk stejný. Pomoci hashe můžete zkontrolovat, zda nebyla data změněna.

Proč najednou změna hash algoritmu?

Veškeré algoritmy užívané v oblasti šifrování a bezpečnosti jsou založeny na určitém matematickém schématu, které je složité vyřešit. Předpokládá se, že není v lidských ani technických možnostech výpočetně tyto algoritmy prolomit.

Nicméně s vývojem výpočetního výkonu počítačů a možností si výkon pronajmout tyto algoritmy zastarávají. Je tedy nutné je jednou za čas vyměnit za silnější. Buď matematicky složitější, nebo v případě šifrování použití delších klíčů.

Nastává otázka, kdy je správný okamžik pro změnu. Většinou se životnost algoritmu řídí doporučením úřadů pro standardizaci. Jedním z nich je americký NIST - National Institute of Standards and Technology. Ten nedoporučil používat SHA-1 po roce 2013, takže není divu, že o jeho nahrazení začaly uvažovat i výrobci software.

Co změna znamená pro majitele SSL certifikátů?

Většina uživatelů SSL certifikátů od SSLmarket může být v klidu, zejména pokud je nemají na více let a certifikát neexpiruje v roce 2017 či později. Případné prodloužení už doporučujeme provést s využitím SHA-2 algoritmu, nebo si certifikát nechat přegenerovat (znovu vystavit). Samozřejmě si nemusíte kupovat certifikát nový, například u nás si ho stačí zdarma vystavit znovu. Pokud jej máte u jiných poskytovatelů. Můžete se zkusit zeptat jejich podpory, jak na to.

Chrome bude u SHA-1 certifikátů zobrazovat varování. Jaké?

Prohlížeč Google Chrome začne ve verzích 39-41 upozorňovat na SHA-1 certifikáty, jejichž platnost je v roce 2017 a později. Google nechce, aby se po roce 2016 více SHA-1 certifikáty používaly. Více na blog.sslmarket.cz/google-chrome-a-sha-1

Microsoft také končí s podporou SHA-1. Kdy se tak stane?

Společnost Microsoft přestane ve svých produktech SHA-1 certifikáty (včetně Code Signing) podporovat po roce 2016 (tedy od 1.1.2017). Code signing bez časového razítka nebude systém akceptovat po 1.1.2016. Microsoft chce, aby certifikační autority přestaly po 1.1.2016 vystavovat SSL certifikáty s SHA-1.

Kompletní stanovisko Microsoftu najdete na jejich PKI blogu v článku SHA1 Deprecation Policy.

Budou i intermediate certifikáty s SHA-2?

Certifikační autority dávají samozřejmě k dispozici i nové intermediate certifikáty využívající SHA-2. Pokud byl váš certifikát vydán s SHA-2, zasíláme jej přímo v emailu o vystavení. SSLmarket garantuje správnost a aktuálnost intermediate certifikátů pro každou objednávku. Systémy certifikačních autorit jsou od 15.9.2014 připraveny vyřizovat požadavky na reissue a vracet správné SHA-2 intermediate certifikáty.

Stáhnout je můžete i přímo z webu certifikačních autorit. Jejich kompletní seznam i s odkazy pro stažení najdete jednoduše na www.blog.sslmarket.cz/nahrazeni-sha-1-certifikatu

Intermediate certifikáty mohou obecně využívat jak SHA-1 kořenový certifikát autority, tak i SHA-2. Obě verze naleznete na výše uvedených odkazech. Chain - řetěz důvěry - je potom dvojí - jeden pro SHA-1 root a jiný pro SHA-2 root CA certifikát.

Mohou mít někteří návštěvníci problém s SHA-2 certifikátem?

Problém mohou mít jen návštěvníci s velice zastaralým softwarem. Příkladem jsou Windows XP se SP2, podpora pro SHA-2 byla doplněna v SP3. Android podporuje SHA-2 od verze 2.3.

Mohu si otestovat podporu SHA-2 certifikátů v prohlížeči?

Ano, například můžete použít speciální testovací stránku Symantec SHA256 SSL Page. Pokud se v prohlížeči zobrazí, je kompatibilní s SHA-256.

Tento článek připravil Jindřich Zechmeister, Specialista pro bezpečnostní SSL certifikáty ve firmě Zoner provozující projekt SSLmarket.cz.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Tagy:
1 názor  —  1 nový  
Hlasování bylo ukončeno    
1 hlas
Google
(fotka) Lukáš ChurýLukáš je šéfredaktorem Programujte, vyvíjí webové aplikace, fascinuje ho umělá inteligence a je lektorem na FI MUNI, kde učí navrhovat studenty GUI. Poslední dobou se snaží posunout Laser Game o stupeň výše a vyvíjí pro něj nové herní aplikace a elektroniku.
Web     Twitter     Facebook     LinkedIn    

Nové články

Obrázek ke článku Open source neznamená „zdarma“

Open source neznamená „zdarma“

Mnoho společností po celém světě, univerzity, vládní organizace a jim podobné dnes používají open source technologie k vytvoření vlastních webových stránek. Tyto technologie se používají čím dál tím více. Jednoduše proto, že je řada poskytovatelů nabízí zcela zdarma. Je to ale opravdu to správné řešení pro všechny? 

Reklama
Reklama
Obrázek ke článku Rádi sledujete obsah streamovacích služeb? Dejte si pozor na pirátské verze Mandaloriana a Netflixu

Rádi sledujete obsah streamovacích služeb? Dejte si pozor na pirátské verze Mandaloriana a Netflixu

Streamovací služby a jejich obsah se v uplynulých měsících těšily velkému zájmu uživatelů, kteří se při pobytu v karanténě chtěli zabavit sledováním filmů a seriálů. Toho bleskově zneužili hackeři, kteří pod názvy oblíbených streamovacích platforem a jejich obsahu maskovali škodlivé soubory. Nejčastěji používali jako návnadu Netflix a seriál The Mandalorian. 

Obrázek ke článku Bionické ruce mění lidem životy. Konference INSPO ukázala nejnovější technologie

Bionické ruce mění lidem životy. Konference INSPO ukázala nejnovější technologie

Bionické myoprotézy rukou jsou ukázkou pokroku, který udělaly za posledních dvacet let technologie pro lidi se zdravotním postižením. Dnešní protézy, které fungují na principu snímání svalových vzorců, umožňují uživatelům operovat s křehkými předměty či provádět úkony složité na kooperaci různých částí těla – ať už jde o hru na hudební nástroje, zavazování tkaniček, nebo třeba pití ze skleničky. Na 20. ročníku konference INSPO se budou zájemci moci naživo seznámit nejen s takzvanou myorukou, ale rovněž s jedním z jejích uživatelů. 

Obrázek ke článku Využití .htaccess na malém webu

Využití .htaccess na malém webu

V dnešní době existuje spoustu cms, které mnohdy ale vůbec nepotřebujeme a stačila by nám pouze základní funkčnost k úpravě url, přesměrování. K tomuto účelu je ideální .htaccess soubor, který nám se všemi těmato úpravami umí pomoct.

Reklama autora

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032020 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý