Депрекация SHA-1 вступила в заключительную фазу: Google окончательно определилась со сроками прекращения поддержки этого слабого устаревшего алгоритма хэширования.

На прошлой неделе в блоге компании было официально объявлено, что браузер Google перестанет поддерживать SHA-1 начиная с версии Chrome 56, выпуск которой запланирован на конец января. Аналогичные шаги уже сделали Mozilla и Microsoft. Тем не менее вендоры браузеров прекрасно осознают, что сайты еще долго будут пользоваться такими сертификатами.

По данным компании Venafi, предлагающей криптоуслуги и решения корпоративным пользователям, в настоящее время сертификаты SHA-1 используют порядка 35% сайтов. С начала будущего года популярные браузеры начнут реагировать на такие сайты предупреждением о ненадежности ресурса.

«Впереди еще много работы, — говорит вице-президент Venafi по ИБ-стратегии Кевин Боцек (Kevin Bocek). — К нам обращаются представители крупного бизнеса, которые либо еще не начали переход, либо сделали попытку, но она мало что дала». По словам эксперта, клиенты сравнивают процесс миграции с SHA-1 на SHA-256 или другие, более надежные алгоритмы с неприятным визитом к дантисту. «В большинстве случаев их службы просто не знают, с чего начать», — сетует Боцек.

Google тем временем заявила, что будет различать сертификаты, привязанные к публичным УЦ, и сертификаты, стоящие в цепочке с локальным УЦ. «Мы признаем, что в редких случаях предприятие пожелает принять самостоятельное решение и вопреки рискам продолжит использовать сертификаты SHA-1», — отметил Эндрю Уолли (Andrew Whalley) из группы обеспечения безопасности Chrome.

По словам Google, текущая версия ее браузера (Chrome 54) позволяет администраторам сайтов воспользоваться политикой EnableSha1ForLocalAnchors. Ее развертывание гарантирует, что сертификаты, связанные с локальным УЦ, можно будет использовать и после того, как Google снимет SHA-1 с поддержки.

«Функции, для которых важна надежность источника, такие как геолокация, продолжат работать, однако страницы будут отображаться как нейтральные, небезопасные, — поясняет Уолли. — Если эта политика не задана, сертификаты SHA-1, связанные с корневыми, установленными локально, лишатся доверия начиная с Chrome 57, выпуск стабильной версии которого ожидается в марте 2017 года. Замечу, даже при отсутствии этой политики клиент сможет отдать сертификат SHA-1 сайту, запрашивающему аутентификацию».

Уолли также подчеркнул, что, учитывая трудности переходного периода, Google даст администраторам сайтов дополнительное время на смену сертификатов. Политика в отношении SHA-1 станет строгой лишь с 1 января 2019 года. «Поскольку Chrome по возможности использует библиотеки валидации сертификатов, которыми располагает ОС хоста, эта опция не сработает, если расположенная ниже криптобиблиотека отключает поддержку сертификатов SHA-1; в этом случае они, безусловно, будут заблокированы, — констатирует Уолли. — А если произойдет серьезный взлом SHA-1, нам придется снять поддержку до 2019 года».

Venafi со своей стороны отметила, что организации активно противятся упразднению SHA-1, причем независимо от их величины, хотя большинство знает о слабости алгоритма еще с 2006 года. «Хорошо это или плохо, но проблемы, связанные с шифрованием или сертификатами, наверное, более всего понятны и в то же время сложны для понимания, — комментирует Боцек. — Существует много тренингов по управлению сетевыми экранами, патчингу, защите конечных точек. Однако очередей из желающих овладеть навыками управления TLS я что-то не вижу. Определенно, это упущение».

Категории: Главное, Кибероборона