SSL信息谷歌在之前发布的一些Chrome版本中已逐渐弃用对SHA-1的支持。而在近日发布的报告中,谷歌已最终确认将在2017年1月末完全停止支持SHA-1。
“我们正计划在Chrome56中停止对SHA-1证书的支持,稳定版本会在2017年1月末发布,”谷歌安全博客指出,“我们建议所有还在使用SHA-1证书的网站尽快联系他们的CA并替换为SHA-256。”
Mozilla在今年9月曾提出过相似的计划,而微软则在去年11月对其浏览器有过类似的提议。国家标准技术研究所(NIST)曾在2014年的时候被要求弃用对SHA-1算法的支持,而Chrome自2015年起就对使用SHA-1的网站提出用户访问警告。
自从发生了多起利用SHA-1算法的攻击事件,如今谷歌认为弃用SHA-1已是迫在眉睫。
Chrome安全博客指出:“SHA-1算法在11年前就被发现过不少缺陷,而最近的研究成果又直指这一算法对Web PKI可信度极有可能产生的巨大破坏。为了防止用户遭受不必要的攻击,Chrome将停止信任所有使用SHA-1算法的证书,而任何用户在访问此类网站时都会收到插页式警告。”
关于Chrome安全博文的更多细节,请戳此处。