Ubuntu Kylin技术论坛

 找回密码
查看: 2194|回复: 0

Twitter、Facebook:不宜过快弃用 SHA-1 证书

[复制链接]
  • TA的每日心情
    奋斗
    2019-8-1 23:32
  • 签到天数: 338 天

    [LV.8]以坛为家I

    发表于 2015-12-31 19:23:59 | 显示全部楼层 |阅读模式
    研究人员已经证明了要攻破 SHA-1 算法正变得越来越容易、所需成本也更低,所以就有了 SHA-1 将终结的说法。这也让很多浏览器厂商,如 Mozilla、微软和谷歌,在浏览器中将 SHA-1 签名的 SSL/TLS 证书标注为不安全,甚至最终阻止用户连接采用这种过时证书的站点。
    浏览器厂商在很快做出回应以后,主要相关互联网服务的厂商们也做出了回应。不过这些服务和内容提供商的回应是不一样的,比如首先做出回应的互联网最大 CDN 之一的 CloudFlare,据他们所说,约有3700万用户还在用老旧的设备和浏览器,无法支持更安全的 SHA-2 证书,要宣布很快弃用 SHA-1 是不合理的,Facebook 也快速表示了支持。
    考虑到 SHA-1 的确已经不安全了,但基于过渡的考量,这两家提出了一个倡议计划,就是继续让 CA 颁发新的 SHA-1 证书,但要求相应站点能够证明他们会优先使用 SHA-2,而 SHA-1 证书仅作为备选方案,给那些由于技术原因或经济考量,无法使用支持 SHA-2 浏览器或设备的用户使用。
    Twitter 刚刚也加入到 Facebook 和 CloudFlare 的行列中,请求 CA/Browser forum 考虑到加快弃用 SHA-1 的不合理性,能够更为平缓地进行过渡,因为这可能导致数百万互联网用户没法访问安全的 HTTPS 站点。
    有这样的考量,对服务和内容提供商而言,实际是从他们的利益出发的,因为根据 Twitter 的数据,大约有3%-6%的用户还在使用旧的设备和浏览器,显然弃用 SHA-1 也就意味着放弃这部分用户了。
    很多网站是完全采用 HTTPS 的,越来越多的 web 服务也意识到快速转往 SHA-2 可能会流失一定的用户群体,所以他们加入这样的计划也就可以理解了。
    参考原文:http://www.cnbeta.com/articles/462021.htm                                                            
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    小黑屋|手机版|Archiver|Ubuntu Kylin    

    GMT+8, 2019-9-21 09:36 , Processed in 0.014196 second(s), 8 queries , File On.

    Copyright ©2013-2019 Ubuntu Kylin. All Rights Reserved .

    ICP No. 15002470-2 Tianjin

    快速回复 返回顶部 返回列表