L’algoritmo di crittografia SHA-1 è giunto alla fine dei suoi giorni. E’ ormai assodato che questo protocollo non è “forte” come si supponeva essere e sebbene nessuno (che si sappia) sia riuscito fino ad oggi a creare un falso certificato SSL sfruttando le debolezze di SHA-1, gli esperti considerano che il rischio è sufficientemente alto da considerare la cosa inevitabile. In altri termini non si può più considerare SHA-1 un algoritmo crittografico idoneo per creare hash “sicuri”.
Esistono da parecchi anni varianti di SHA-1 molto più sicure, come ad esempio SHA-256 ed oggigiorno sono più facili da implementare per cui non c’è ragione di continuare a generare certificati SSL utilizzando SHA-1 quando questo può essere rimpiazzato da qualcosa di più sicuro.
Il risultato di tutto questo è che Apple, Microsoft, Google, e Mozilla smetteranno di accettare come sicuri nei loro browser i certificati SSL che ancora usano la crittografia SHA-1.
Alla fine di gennaio 2017 verrà rilasciato Google Chrome versione 56. Da questa release Chrome smetterà di fidarsi dei certificati SHA-1 e visualizzerà un avviso di sicurezza.
Con la versione 51 di Firefox, rilasciate il prossimo gennaio il browser mostrerà un messaggio di “connessione non sicura” per i siti che ancora utilizzano SHA-1
Per safari non si conoscono le dare in cui il broswer di Apple smetterà di fidarsi di SHA-1 ma una nota di Cupertino consiglia tutti di abbandonare SHA-1 il prima possibile.
A partire dal 14 febbraio 2017 anche Internet Explorer e Edge mostreranno un messaggio di sicurezza prima di caricare il sito che usa uno di questi certificati emessi con SHA-1
Le avvisaglie di questo abbandono si sono manifestate già da tempo e addirittura Google, nel 2014, annunciò che avrebbe penalizzato i siti che avrebbeo continuato ad usare SHA-1 dopo il 2016.
Insomma, con la fine del 2016 sempre che si sia giunti finalmente a un punto fermo. Per fortuna le recenti statistiche di Mozilla ci informano che meno dell’1% dei siti usano ancora certificati emessi con SHA-1 (anche se altri dati parlano più pessimisticamente di un terzo dei siti web).
Qualunque sia la cifra esatta i loro giorni sono contati.
