BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Chrome为SHA-1设置倒计时

| 作者 Jeff Martin 关注 17 他的粉丝 ,译者 曹知渊 关注 1 他的粉丝 发布于 2014年9月19日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

随着时间的流逝,一些密码散列算法不再是坚不可摧的了,因为计算机运算能力在不断增强,针对这些算法和实现弱点的暴力猜解攻击法已经有可能实现。根据Google的观察,SHA-1算法的弱点已经暴露至少有九年之久了,Bruce Schneier(译者注:著名密码学著作《应用密码学》的作者)也在博文中描述了这个问题。

鉴于发生攻击的可能性越来越高,各种机构都建议不要再使用SHA-1,其中包括美国国家标准与技术研究院。Google的Chrome浏览器现在也加入了这些组织的行列,对于使用SHA-1签名的HTTPS证书的网站,它采用了不一样的显示方式。

为了使那些依赖SHA-1的用户少受影响,Chrome会采用分阶段的措施,逐步移除对SHA-1的支持,先是提醒用户SHA-1的生命期即将结束,最终会在地址栏显示一个红叉,以示最严重的警告。如果用户执意要访问使用SHA-1的网站,Chrome会在显著位置提醒用户,你正在上的网站,不如那些已经切换到更安全算法的网站安全。

基于拉出分支的节点,Google大概列出了以下时间表:

  • Chrome 39(2014年9月26日拉出分支):所访问网站的最终实体证书(译者注:不能再签发下级证书的证书)如果在2017年1月1日或之后过期,并且使用了基于SHA-1的签名作为证书链的一部分,将会被认为是“安全的,但是有小错误”。
  • Chrome 40(2014年11月7日拉出分支,年底长假前稳定):所访问网站的最终实体证书如果在2016年6月1日到2016年12月31日(含)之间过期,并且使用了基于SHA-1的签名作为证书链的一部分,将会被认为是“安全的,但是有小错误”。所访问网站的最终实体证书如果在2017年1月1日或之后过期,并且使用了基于SHA-1的签名作为证书链的一部分,将会被认为是“中性的,缺乏安全性”。
  • Chrome 41(2015年第一季度拉出分支):所访问网站的最终实体证书如果在2016年6月1日到2016年12月31日(含)之间过期,并且使用了基于SHA-1的签名作为证书链的一部分,将会被认为是“安全的,但是有小错误”。所访问网站的最终实体证书如果在2017年1月1日或之后过期,并且使用了基于SHA-1的签名作为证书链的一部分,将会被认为是“肯定不安全的”。来自于这些网站的子资源,将会被认为是“含有活动的混合内从(译者注:一种不安全的网页内容,参考这里)”。

注意以上列出的Chrome浏览器版本发布时间很可能是拉出分支后的6到8周。所以Chrome 39预计会在11月发布,Chrome 40在2015年1月发布,而Chrome 41将会在2015年第一季度发布。

查看参考原文:http://www.infoq.com/news/2014/09/chrome_SHA1

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT