BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

SHA-1将延后停用

| 作者 Jeff Martin 关注 16 他的粉丝 ,译者 谢丽 关注 11 他的粉丝 发布于 2016年1月1日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

很长一段时间以来,SHA-1哈希函数一直被用于加密和保证数据完整性。令人遗憾的是,近年来,该算法已被证实有足够攻击者发起攻击的漏洞,用户应该使用一种更新的协议(SHA-256)取代它。几年来,企业一直致力于采用一种替代方案,但有个问题是,需要处理数以百万计的使用了这个停用的函数的设备。如果企业强制推行一种更为安全的协议,那么他们就要冒着拒绝那些没有能力更新系统的设备访问的风险。如果企业什么都不做,那么用户就会继续暴露,而且没有动力更新系统或者寻找替代方案。

根据来自Facebook的Alex Stamos报道,他们已经确认,有3%~7%的用户使用着不支持新协议的浏览器。他们已经实现了一种技术,可以的话就使用SHA-256,而只把SHA-1作为最后的选择。Twitter也报道了类似的用户数量,这些用户受他们使用的老设备所限,只能使用SHA-1。

通过同CloudFlare合作,这三家公司已经向CA/Browser论坛(浏览器证书颁发机构论坛)提交了一份修正案,针对那些受限于SHA-1的用户,提供了一种解决用户需求的过渡方案:

  1. 该提案会确保所有的主流设备继续向SHA-256迁移。
  2. 在域同时支持SHA-256时,仅允许使用原有的合法SHA-1证书。
  3. 原有的合法SHA-1证书只有在特定的情况下才可以使用,而且到2019年3月仍然会废止。
  4. 增加原有合法证书中序列号的随机化,降低SHA-1证书遭碰撞攻击的可能性。
  5. 如果在攻击事件中发现SHA-1证书使用不当,那么证书所有者会终止这些原有合法证书的使用。

当然,尽管提案允许,但除了策略考量外,用户还是会受SHA-1的弱点所影响,所以对于受影响的用户而言,尽快升级浏览器和/或设备还是很重要的。

查看英文原文:Postponing the Retirement of SHA-1

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT