Не так давно корпорация Microsoft объявила о скором завершении поддержки TLS и SSL сертификатов, где используется алгоритм хэширования SHA-1. Перед этим аналогичное заявление сделало и руководство Mozilla. Сейчас и корпорация Google решила поступить таким же образом, прекратив поддержку SHA-1 до 1 января 2017 года.
Проблема состоит в том, что в ближайшем будущем не будет никаких проблем с подбором коллизий для такого алгоритма хэширования. Вычислительная техника становится все мощнее, облачные сервисы развиваются и подобная операция уже не будет слишком дорогой для злоумышленника. Сейчас корпорация Google уже начала помечать сайты с таким сертификатом как небезопасные.
По мнению экспертов, высказанном еще в 2012 году, злоумышленники смогут подделывать соответствующие сертификаты уже в 2018 году. Нет никакой гарантии, что это не случится раньше. Поэтому крупные телекоммуникационные компании решили поступить мудро — избавиться от проблемы еще до того, как она стала проблемой.
И вовремя — более новые исследования показывают, что стоимость подделки сертификата значительно снижается уже сейчас. Используя облачные сервисы вроде Amazon EC2, мошенники могут за относительно небольшие деньги создавать поддельные сертификаты SHA-1. В 2017 году это уже будет реальная угроза. Именно поэтому большинство компаний планирует избавиться от поддержки такого рода сертификатов до 1 января 2017 года.
Также все три упомянутые компании прекратят поддерживать алгоритм шифрования RC4 в январе или феврале следующего года.
В январе 2016 года новая версия Chrome (Chrome 48) будет показывать ошибку для сайтов с SHA-1 сертификатами, как и показано в анонсе.
