Konec zabezpečení SHA-1 – co to pro nás znamená?
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama
Reklama

Konec zabezpečení SHA-1 – co to pro nás znamená?Konec zabezpečení SHA-1 – co to pro nás znamená?

 

Konec zabezpečení SHA-1 – co to pro nás znamená?

Google       22. 1. 2015       5 117×

Konec podpory hash algoritmu SHA-1 není novinkou, avšak proces ukončení výrazně zrychlil Google díky svému prohlížeči Chrome. V nejbližších týdnech je třeba zkontrolovat své certifikáty. V tomto článku se dozvíte, zdali se vás problém týká a jak ho vyřešit.

Reklama
Reklama

Co je to SHA-1 a kde se používá?

Pod zkratkou SHA se ukrývá termín Secure Hash Algoritm a jedná se o často používanou hašovací funkci. Haš (anglicky hash) nebo též otisk je unikátní "sádrový odlitek" dat, který vystihuje jejich konkrétní podobu. Pokud se data pozmění, nebude ano otisk stejný. Pomoci hashe můžete zkontrolovat, zda nebyla data změněna.

Proč najednou změna hash algoritmu?

Veškeré algoritmy užívané v oblasti šifrování a bezpečnosti jsou založeny na určitém matematickém schématu, které je složité vyřešit. Předpokládá se, že není v lidských ani technických možnostech výpočetně tyto algoritmy prolomit.

Nicméně s vývojem výpočetního výkonu počítačů a možností si výkon pronajmout tyto algoritmy zastarávají. Je tedy nutné je jednou za čas vyměnit za silnější. Buď matematicky složitější, nebo v případě šifrování použití delších klíčů.

Nastává otázka, kdy je správný okamžik pro změnu. Většinou se životnost algoritmu řídí doporučením úřadů pro standardizaci. Jedním z nich je americký NIST - National Institute of Standards and Technology. Ten nedoporučil používat SHA-1 po roce 2013, takže není divu, že o jeho nahrazení začaly uvažovat i výrobci software.

Co změna znamená pro majitele SSL certifikátů?

Většina uživatelů SSL certifikátů od SSLmarket může být v klidu, zejména pokud je nemají na více let a certifikát neexpiruje v roce 2017 či později. Případné prodloužení už doporučujeme provést s využitím SHA-2 algoritmu, nebo si certifikát nechat přegenerovat (znovu vystavit). Samozřejmě si nemusíte kupovat certifikát nový, například u nás si ho stačí zdarma vystavit znovu. Pokud jej máte u jiných poskytovatelů. Můžete se zkusit zeptat jejich podpory, jak na to.

Chrome bude u SHA-1 certifikátů zobrazovat varování. Jaké?

Prohlížeč Google Chrome začne ve verzích 39-41 upozorňovat na SHA-1 certifikáty, jejichž platnost je v roce 2017 a později. Google nechce, aby se po roce 2016 více SHA-1 certifikáty používaly. Více na blog.sslmarket.cz/google-chrome-a-sha-1

Microsoft také končí s podporou SHA-1. Kdy se tak stane?

Společnost Microsoft přestane ve svých produktech SHA-1 certifikáty (včetně Code Signing) podporovat po roce 2016 (tedy od 1.1.2017). Code signing bez časového razítka nebude systém akceptovat po 1.1.2016. Microsoft chce, aby certifikační autority přestaly po 1.1.2016 vystavovat SSL certifikáty s SHA-1.

Kompletní stanovisko Microsoftu najdete na jejich PKI blogu v článku SHA1 Deprecation Policy.

Budou i intermediate certifikáty s SHA-2?

Certifikační autority dávají samozřejmě k dispozici i nové intermediate certifikáty využívající SHA-2. Pokud byl váš certifikát vydán s SHA-2, zasíláme jej přímo v emailu o vystavení. SSLmarket garantuje správnost a aktuálnost intermediate certifikátů pro každou objednávku. Systémy certifikačních autorit jsou od 15.9.2014 připraveny vyřizovat požadavky na reissue a vracet správné SHA-2 intermediate certifikáty.

Stáhnout je můžete i přímo z webu certifikačních autorit. Jejich kompletní seznam i s odkazy pro stažení najdete jednoduše na www.blog.sslmarket.cz/nahrazeni-sha-1-certifikatu

Intermediate certifikáty mohou obecně využívat jak SHA-1 kořenový certifikát autority, tak i SHA-2. Obě verze naleznete na výše uvedených odkazech. Chain - řetěz důvěry - je potom dvojí - jeden pro SHA-1 root a jiný pro SHA-2 root CA certifikát.

Mohou mít někteří návštěvníci problém s SHA-2 certifikátem?

Problém mohou mít jen návštěvníci s velice zastaralým softwarem. Příkladem jsou Windows XP se SP2, podpora pro SHA-2 byla doplněna v SP3. Android podporuje SHA-2 od verze 2.3.

Mohu si otestovat podporu SHA-2 certifikátů v prohlížeči?

Ano, například můžete použít speciální testovací stránku Symantec SHA256 SSL Page. Pokud se v prohlížeči zobrazí, je kompatibilní s SHA-256.

Tento článek připravil Jindřich Zechmeister, Specialista pro bezpečnostní SSL certifikáty ve firmě Zoner provozující projekt SSLmarket.cz.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Tagy:
1 názor  —  1 nový  
Hlasování bylo ukončeno    
1 hlas
Google
(fotka) Lukáš ChurýLukáš je šéfredaktorem Programujte, vyvíjí webové aplikace, fascinuje ho umělá inteligence a je lektorem na FI MUNI, kde učí navrhovat studenty GUI. Poslední dobou se snaží posunout Laser Game o stupeň výše a vyvíjí pro něj nové herní aplikace a elektroniku.
Web     Twitter     Facebook     LinkedIn    

Nové články

Obrázek ke článku Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

Delphi 10.1.2 (Berlin Update 2) – na co se můžeme těšit

Touto roční dobou, kdy je zem pokrytá barevným listím a prsty křehnou v mrazivých ránech, se obvykle těšíme na zbrusu novou verzi RAD Studia. Letos si však ale budeme muset počkat na Godzillu a Linux až do jara. Vezměme tedy za vděk alespoň updatem 2 a jelikož dle vyjádření pánů z Embarcadero se budou nové věci objevovat průběžně, pojďme se na to tedy podívat.

Reklama
Reklama
Obrázek ke článku Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

Konference: Moderní datová centra pro byznys dneška se koná už 24. 11.

Stále rostoucí zájem o cloudové služby i maximální důraz na pružnost, spolehlivost a bezpečnost IT vedou k výrazným inovacím v datových centrech. V infrastruktuře datových center hraje stále významnější roli software a stále častěji se lze setkat s hybridními přístupy k jejich budování i provozu.

Obrázek ke článku Konference: Mobilní technologie mají velký potenciál pro byznys

Konference: Mobilní technologie mají velký potenciál pro byznys

Firmy by se podle analytiků společnosti Gartner měly  rychle přizpůsobit skutečnosti, že mobilní technologie už zdaleka nejsou horkou novinkou, ale standardní součástí byznysu. I přesto - nebo možná právě proto - tu nabízejí velký potenciál. Kde tedy jsou ty největší příležitosti? I tomu se bude věnovat již čtvrtý ročník úspěšné konference Mobilní řešení pro business.

Obrázek ke článku Hackerský kongres přiveze v září do Prahy špičky světové kryptoanarchie

Hackerský kongres přiveze v září do Prahy špičky světové kryptoanarchie

Hackerský kongres HCPP16 pořádá od 30. září do 2. října nezisková organizace Paralelní Polis již potřetí, a to ve stejnojmenném bitcoinovém prostoru v pražských Holešovicích. Letos přiveze na třídenní konferenci přes 40 většinou zahraničních speakerů – lídrů z oblastí technologií, decentralizované ekonomiky, politických umění a aktivismu. Náměty jejich přednášek budou také hacking, kryptoměny, věda, svoboda nebo kryptoanarchie.

Reklama autora

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032016 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý