Cloudflare和Facebook找到了应对SHA-1算法签署的SSL/TLS证书的替代方案。
从2016年起,所有的浏览器厂商将开始显示出错信息并阻止用户访问使用SHA1数字证书签署的HTTPS站点。这个流程将尽可能被延迟,可能会到2017年年底,但最近公布的一份研究报告指出,SHA-1证书被破解的成本相对低廉,通过相对低的处理能力就能做到。该研究报告加速了SHA-1算法被弃用的速度,而且微软和Mozilla公司已经表示将在比预期更早的时间点弃用SHA-1证书。
3700万用户仍然在使用只有SHA1加密的浏览器
Cloudflare表示从大量的CDN和服务器网络数据分析来看,大约有3700万用户依然在使用SHA-2新算法无法支持的浏览器版本。随着网站转向SHA-2,这些用户将无法访问任何HTTPS站点。这些用户多数都在使用更老旧版本的桌面和移动浏览器,Cloudflare的数据显示这些用户主要集中在中国、伊朗、尼泊尔和许多非洲国家。
不过虽然数据显示,至少98.31%的当前互联网用户使用SHA-2浏览器,Cloudflare跟Facebook无法忍受3700万互联网用户被限制访问加密流量的事实。
SHA-1仅支持老版浏览器
两家公司都在向CA/B论坛提议一种可替代性场景,后者是一家负责为证书机构和浏览器颁发加密策略的组织。根据计划,网站应当默认使用SHA-2算法,但只要他们发现有用户使用老版的浏览器版本,他们应当提供SHA-1证书。Facebook开发人员已经提供源代码来支持这一计划,并已经开始在自己公司使用。而Cloudflare也为所有的用户激活了一种类似的免费SHA-1算法系统。如果客户不想将自己的客户端泄露给不安全的SHA-1连接,那么他们可以选择关闭。
Facebook开发人员表示,CA/B浏览器论坛应当颁发一种新型的遗留的可验证证书,颁发给那些已经证明向现代浏览器提供SHA-256证书的组织机构。如果这个改变不能在12月31日前完成,那么他们将呼吁CA/B论坛延迟执行SHA-1规则以建立新的遗留证书标准。