В следующем году десятки миллионов пользователей по всему миру начнут
испытывать трудности с доступом к наиболее популярным шифруемым сайтам,
наподобие Facebook, Google, Gmail, Twitter и Microsoft. Их браузеры или
устройства не смогут читать новые, более безопасные сертификаты.
Алгоритму
криптографического хеширования, SHA1, бывшему центральным элементом
веб-безопасности на протяжении десятилетия, осталось до «ухода на
пенсию» чуть более года.
Организации, занимающиеся выдачей
сертификатов, заявили, что в полночь, 1 января 2016 г. они перестанут
удовлетворять заявки на получение SHA1 и будут предлагать SHA2.
Новое
поколение алгоритма значительно более безопасно, чем SHA1, взлом
которого по прогнозам ряда экспертов, произойдёт ещё в этом году,
ослабив защиту миллионов пользователей Интернета. Однако имеется
проблема: небольшая, но тем не менее, существенная доля браузеров и
устройств для работы с Веб не поддерживают SHA2.
Из зашифрованных
SSL веб-сайтов примерно 24% (или один миллион сайтов) все ещё
используют SHA1. Их число уменьшается от месяца к месяцу и к концу года
может упасть до 10%, то есть большинство шифруемых ресурсов Интернета
будут защищены от атак на SHA1.
После Нового Года владельцы
веб-сайтов с SHA1 получат ещё год, чтобы завершить миграцию на SHA2. С
2017 г. Chrome и Firefox, встретив старый сертификат будут блокировать
страницу и предупреждать о ненадёжном подключении. Mozilla также может
перенести конечную дату на июль 2016 г. если ожидаемая атака на SHA1
окажется успешной.
Для многих людей, работающих со свежими
модификациями Chrome или Firefox, с новой ОС или смартфонами последних
моделей, переход пройдёт незаметно, так как все это оборудование и ПО
совместимо как с SHA1, так и с SHA2.
Однако, как заявил Айвен
Ристик (Ivan Ristic), глава лаборатории SSL Labs в Qualys: «Принимая во
внимание, что сайты на 75% завершили миграцию на SHA2, пользователи со
старыми браузерами, вероятно, начнут испытывать все более частые
проблемы на протяжении 2016 г.». Он также сообщил, что Windows XP SP2 и
более ранние версии, а также Android до 2.2 включительно, не
поддерживают сертификаты SHA2.
К сожалению надёжные
статистические данные отсутствуют, но из того, что есть можно сделать
вывод, что доля неподдерживаемых систем, которые используются во всем
мире, мала, однако она исчисляется двузначными процентами в Китае,
Африке, Индии и других развивающихся странах, что даёт миллионы
пользователей. Даже если верно заявление Microsoft, что в мире
используется лишь 1% неподдерживаемых браузеров, это значит, что до 70
млн посетителей могут быть блокированы сайтами, зашифрованными с SHA2.
Mozilla
уже испытала на себе эту проблему в прошлом году, когда обновила свой
веб-сайт сертификатом SSL с SHA2-хэшированием. Этот апгрейд, по
заявлению Mozilla, «убил миллион загрузок», продемонстрировав, что
множество людей все ещё пользуются устаревшими технологиями, пытаясь
попасть на сайт и загрузить Firefox.
