Konec zabezpečení SHA-1 – co to pro nás znamená?
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama
Reklama

Konec zabezpečení SHA-1 – co to pro nás znamená?Konec zabezpečení SHA-1 – co to pro nás znamená?

 

Konec zabezpečení SHA-1 – co to pro nás znamená?

Google       22. 1. 2015       5 356×

Konec podpory hash algoritmu SHA-1 není novinkou, avšak proces ukončení výrazně zrychlil Google díky svému prohlížeči Chrome. V nejbližších týdnech je třeba zkontrolovat své certifikáty. V tomto článku se dozvíte, zdali se vás problém týká a jak ho vyřešit.

Reklama
Reklama

Co je to SHA-1 a kde se používá?

Pod zkratkou SHA se ukrývá termín Secure Hash Algoritm a jedná se o často používanou hašovací funkci. Haš (anglicky hash) nebo též otisk je unikátní "sádrový odlitek" dat, který vystihuje jejich konkrétní podobu. Pokud se data pozmění, nebude ano otisk stejný. Pomoci hashe můžete zkontrolovat, zda nebyla data změněna.

Proč najednou změna hash algoritmu?

Veškeré algoritmy užívané v oblasti šifrování a bezpečnosti jsou založeny na určitém matematickém schématu, které je složité vyřešit. Předpokládá se, že není v lidských ani technických možnostech výpočetně tyto algoritmy prolomit.

Nicméně s vývojem výpočetního výkonu počítačů a možností si výkon pronajmout tyto algoritmy zastarávají. Je tedy nutné je jednou za čas vyměnit za silnější. Buď matematicky složitější, nebo v případě šifrování použití delších klíčů.

Nastává otázka, kdy je správný okamžik pro změnu. Většinou se životnost algoritmu řídí doporučením úřadů pro standardizaci. Jedním z nich je americký NIST - National Institute of Standards and Technology. Ten nedoporučil používat SHA-1 po roce 2013, takže není divu, že o jeho nahrazení začaly uvažovat i výrobci software.

Co změna znamená pro majitele SSL certifikátů?

Většina uživatelů SSL certifikátů od SSLmarket může být v klidu, zejména pokud je nemají na více let a certifikát neexpiruje v roce 2017 či později. Případné prodloužení už doporučujeme provést s využitím SHA-2 algoritmu, nebo si certifikát nechat přegenerovat (znovu vystavit). Samozřejmě si nemusíte kupovat certifikát nový, například u nás si ho stačí zdarma vystavit znovu. Pokud jej máte u jiných poskytovatelů. Můžete se zkusit zeptat jejich podpory, jak na to.

Chrome bude u SHA-1 certifikátů zobrazovat varování. Jaké?

Prohlížeč Google Chrome začne ve verzích 39-41 upozorňovat na SHA-1 certifikáty, jejichž platnost je v roce 2017 a později. Google nechce, aby se po roce 2016 více SHA-1 certifikáty používaly. Více na blog.sslmarket.cz/google-chrome-a-sha-1

Microsoft také končí s podporou SHA-1. Kdy se tak stane?

Společnost Microsoft přestane ve svých produktech SHA-1 certifikáty (včetně Code Signing) podporovat po roce 2016 (tedy od 1.1.2017). Code signing bez časového razítka nebude systém akceptovat po 1.1.2016. Microsoft chce, aby certifikační autority přestaly po 1.1.2016 vystavovat SSL certifikáty s SHA-1.

Kompletní stanovisko Microsoftu najdete na jejich PKI blogu v článku SHA1 Deprecation Policy.

Budou i intermediate certifikáty s SHA-2?

Certifikační autority dávají samozřejmě k dispozici i nové intermediate certifikáty využívající SHA-2. Pokud byl váš certifikát vydán s SHA-2, zasíláme jej přímo v emailu o vystavení. SSLmarket garantuje správnost a aktuálnost intermediate certifikátů pro každou objednávku. Systémy certifikačních autorit jsou od 15.9.2014 připraveny vyřizovat požadavky na reissue a vracet správné SHA-2 intermediate certifikáty.

Stáhnout je můžete i přímo z webu certifikačních autorit. Jejich kompletní seznam i s odkazy pro stažení najdete jednoduše na www.blog.sslmarket.cz/nahrazeni-sha-1-certifikatu

Intermediate certifikáty mohou obecně využívat jak SHA-1 kořenový certifikát autority, tak i SHA-2. Obě verze naleznete na výše uvedených odkazech. Chain - řetěz důvěry - je potom dvojí - jeden pro SHA-1 root a jiný pro SHA-2 root CA certifikát.

Mohou mít někteří návštěvníci problém s SHA-2 certifikátem?

Problém mohou mít jen návštěvníci s velice zastaralým softwarem. Příkladem jsou Windows XP se SP2, podpora pro SHA-2 byla doplněna v SP3. Android podporuje SHA-2 od verze 2.3.

Mohu si otestovat podporu SHA-2 certifikátů v prohlížeči?

Ano, například můžete použít speciální testovací stránku Symantec SHA256 SSL Page. Pokud se v prohlížeči zobrazí, je kompatibilní s SHA-256.

Tento článek připravil Jindřich Zechmeister, Specialista pro bezpečnostní SSL certifikáty ve firmě Zoner provozující projekt SSLmarket.cz.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Tagy:
1 názor  —  1 nový  
Hlasování bylo ukončeno    
1 hlas
Google
(fotka) Lukáš ChurýLukáš je šéfredaktorem Programujte, vyvíjí webové aplikace, fascinuje ho umělá inteligence a je lektorem na FI MUNI, kde učí navrhovat studenty GUI. Poslední dobou se snaží posunout Laser Game o stupeň výše a vyvíjí pro něj nové herní aplikace a elektroniku.
Web     Twitter     Facebook     LinkedIn    

Nové články

Obrázek ke článku RAD Studio a Windows Store

RAD Studio a Windows Store

RAD Studio je první vývojové prostředí se zabudovanou podporou balení aplikací typu Win32 a Win64 pro jejich umístění a šíření prostřednictvím Windows 10 Store.

Reklama
Reklama
Obrázek ke článku Testujte na 2 400+ Android a iOS zařízení

Testujte na 2 400+ Android a iOS zařízení

V dnešní době, kdy většina softwaru pro mobilní aplikace je tvořena a distribuována průběžně, mnohdy do celého světa je třeba zajistit také průběžnou automatizaci testování mobilního softwaru. V případě mobilních aplikací pro Android a iOS začíná být problém, jak testovat na obrovském množství kombinací HW variant, rozměrů, edic operačních systémů různých výrobců v různých částech světa na reálných zařízení. Simulátory a emulátory nejsou většinou to pravé. Pokud již testuji, jak si udělat vlastní beta distribuci opravdovým reálným testerům napříč platformami?

Obrázek ke článku Funkcie main vo Windows API

Funkcie main vo Windows API

V tretej časti seriálu o Windows API budeme hovoriť o funkčných prototypoch main. Funkčný prototyp je tvorený názvom funkcie a typom signatúry, pričom sa vynecháva telo funkcie. 

Reklama autora

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032017 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý