Crittografia SHA-1 siamo alla fine.

L’algoritmo di crittografia SHA-1 è giunto alla fine dei suoi giorni. E’ ormai assodato che questo protocollo non è “forte” come si supponeva essere e sebbene nessuno (che si sappia) sia riuscito fino ad oggi a creare un falso certificato SSL sfruttando le debolezze di SHA-1, gli esperti considerano che il rischio è sufficientemente alto da considerare la cosa inevitabile. In altri termini non si può più considerare SHA-1 un algoritmo crittografico idoneo per creare hash “sicuri”.

Esistono da parecchi anni varianti di SHA-1 molto più sicure, come ad esempio SHA-256 ed oggigiorno sono più facili da implementare per cui non c’è ragione di continuare a generare certificati SSL utilizzando SHA-1 quando questo può essere rimpiazzato da qualcosa di più sicuro.

Il risultato di tutto questo è che Apple, Microsoft, Google, e Mozilla smetteranno di accettare come sicuri nei loro browser i certificati SSL che ancora usano la crittografia SHA-1.

Alla fine di gennaio 2017 verrà rilasciato Google Chrome versione 56. Da questa release Chrome smetterà di fidarsi dei certificati SHA-1 e visualizzerà un avviso di sicurezza.
Con la versione 51 di Firefox, rilasciate il prossimo gennaio il browser mostrerà un messaggio di “connessione non sicura” per i siti che ancora utilizzano SHA-1
Per safari non si conoscono le dare in cui il broswer di Apple smetterà di fidarsi di SHA-1 ma una nota di Cupertino consiglia tutti di abbandonare SHA-1 il prima possibile.
A partire dal 14 febbraio 2017 anche Internet Explorer e Edge mostreranno un messaggio di sicurezza prima di caricare il sito che usa uno di questi certificati emessi con SHA-1

Le avvisaglie di questo abbandono si sono manifestate già da tempo e addirittura Google, nel 2014, annunciò che avrebbe penalizzato i siti che avrebbeo continuato ad usare SHA-1 dopo il 2016.

Insomma, con la fine del 2016 sempre che si sia giunti finalmente a un punto fermo. Per fortuna le recenti statistiche di Mozilla ci informano che meno dell’1% dei siti usano ancora certificati emessi con SHA-1 (anche se altri dati parlano più pessimisticamente di un terzo dei siti web).

Qualunque sia la cifra esatta i loro giorni sono contati.

Condividi su facebook
Condividi su twitter

Avvertenza

Per quanta cura venga posta nella creazione di questi contenuti è sempre possibile che contengano errori, imprecisioni o che le informazioni stesse non siano più attuali. E’ importante verificare sempre che quanto riportato nell’articolo sia applicabile alla propria situazione prima di qualsiasi azione. Tunda IT Srl non si assume responsabilità per eventuali danni che causati a cose o persone dall’utilizzo delle informazioni o dei consigli qui riportati. In caso di dubbi è consigliabile richiedere la consulenza di un esperto. Siamo sempre disponibili per un consiglio o un aiuto.