Верная своим обещаниям, Mozilla с первого дня нового года начала отвергать новые сертификаты SHA-1. Также стали сбываться опасения, что из-за этого возникнут проблемы с использованием Интернета.

В минувшую среду разработчик признал, что некоторые защитные сканеры и антивирусные продукты начали препятствовать доступу к сайтам, использующим HTTPS. «При попытке пользователя установить соединение с HTTPS-сайтом посредническое устройство отдает Firefox новый сертификат SHA-1 вместо реального сертификата сервера, — пишет Ричард Барнс (Richard Barnes) в блоге Mozilla. — Поскольку Firefox не принимает сертификаты SHA-1, он не может соединиться с сервером».

В прошлом году некоторые эксперты выразили опасения, что к концу срока поддержки SHA-1, установленного вендорами популярных браузеров, многие пользователи окажутся отрезанными от Интернета.

Так, директор по безопасности Facebook Алекс Стамос (Alex Stamos) оценил вероятные потери в десятки миллионов пользователей. Глава CloudFlare Мэтью Принс (Matthew Prince) назвал более конкретную цифру — 37 млн.

Алгоритм хэширования SHA-1 теоретически уязвим ко взлому, и такие атаки, по оценке университетских исследователей, возможны уже сейчас — при наличии адекватных ресурсов.

Что касается проблемы Mozilla, Барнс полагает, что ее можно смягчить, не прибегая к установке новейшей версии Firefox вручную (в автоматическом режиме обновления загружаются по HTTPS). «Если не хочется переустанавливать Firefox, продвинутый пользователь может исправить локальную копию, открыв about:config и установив значение security.pki.sha1_enforcement_level на 0 (что обеспечит прием всех сертификатов SHA-1)», — советует представитель Mozilla.

Категории: Кибероборона