Microsoft начинает блокирование веб-сайтов с сертификатами SHA-1 в Edge
Предупреждения стали реальностью.
Microsoft завершила верификацию информации из сертификатов SHA-1 с майскими обновлениями безопасности за 2017 год, так что веб-сайты, которые используют его в настоящее время заблокированы в Microsoft Edge и Internet Explorer.
Разделение в несколько различных момента, и устаревание SHA-1 является мерой предосторожности, на основании чего главные разработчики браузеров договорились, в том числе Google и Mozilla о таких мерах, а теперь и Редмонд применяет изменения в своем новом браузере поставляемом совместно с ОС Windows 10.
Пользователи, пытающиеся загрузить веб-сайт, который использует сертификат SHA-1 появится предупреждение, говоря им «есть проблема с сертификатом безопасности этого веб-сайта, и данное означает, что кто-либо желает обмануть вас или украсть любую информацию, передаваемую на сервер». Microsoft рекомендует пользователям закрыть этот сайт как можно скорее, но предоставляет им два варианта, один из которых по-прежнему остаться на открытой веб-странице.
Эти сайты будут так же заблокированы в Firefox и Chrome
«Мы намерены сделать больше, чтобы предупредить потребителей о риске загрузки программного обеспечения, которое подписывается с помощью сертификата SHA-1. Наша цель состоит в том, чтобы разработать общий подход в защите при работе на операционной системе, и так что бы все приложения поиска могут использовать для предупреждения пользователей о слабой криптографии, такой как SHA-1. Microsoft внимательно следит за последними исследованиями по вопросу о возможности атаки SHA-1 и будет использовать эту функцию, чтобы определить полные сроки устаревания», объясняет Программный гигант.
Устаревание SHA-1 происходит на всех версиях Windows, которые по-прежнему поддерживаются в мае 2017 года, так что пока Edge доступен только в Windows 10, Internet Explorer вводит это изменение на Windows 7, 8.1 и 10.
Microsoft объясняет, что собственно сертификаты SHA-1 не страдают от этого обновления для системы безопасности, хотя компания рекомендует всем перейти на SHA-2 как можно скорее.
Видеть что Microsoft, наконец запрет на SHA-1, не является такой большой неожиданностью, так как эта функция хеширования была запущено примерно с 1995 года, но с ростом числа нападений, зарегистрированных в последнее десятилетие. Компании и организации, заблокировали использование сертификатов SHA-1, в том числе федеральные агентства США, которым больше не разрешено использовать его с 2010 года.