示意圖,與新聞事件無關。

圖片來源: 

Microsoft

微軟於上周宣布,自明年2月14日起,旗下的Microsoft Edge與IE 11瀏覽器將不再支援採用SHA-1憑證的網站,但企業或自我簽署的SHA-1則不在此限,除了微軟之外,Google及Mozilla也都已經宣布預計於明年1月釋出的Chrome 56與Firefox 51也都不再支援SHA-1。

SHA-1為一安全雜湊演算法,只是近年來紛紛有研究顯示攻擊該演算法的成本大為降低,已無法再確保其傳輸安全,相關弱點將允許駭客在使用者瀏覽網頁時置換內容、執行網釣或中間人攻擊,使得不論是微軟、Google或Mozilla等主要瀏覽器業者早就達成漸次淘汰SHA-1的共識。

微軟表示,從明年的2月14日起,Microsoft Edge與IE 11會在使用者造訪採用SHA-1的網站跳出「無效憑證」的警告訊息,不過使用者仍可選擇忽略該訊息以連至該站 。此一政策雖不影響手動安裝的企業或自我簽署的SHA-1憑證,但微軟仍強烈建議業者儘快改用SHA-256。

其實接替SHA-1的SHA-2家族早就出爐,但根據資安業者Venafi的估計,全球還有35%的網站仍在使用不安全的SHA-1,代表1.73億的全球網站中,有6100萬個是不安全的。

Venafi警告,所有的瀏覽器都仰賴憑證來確保網站的可靠性,特別是在從事電子商務或網路銀行等活動時,被不少憑證採納的SHA-1演算法可能遭受碰撞攻擊(collision attack)而允許駭客偽造憑證或執行中間人攻擊。

有鑑於每個組織平均擁有超過2.3萬個金鑰或憑證,且多數的組織缺乏挖掘環境中所有SHA-1的工具,使得不少組織仍抱著僥倖心態,只是這些組織顯然在明年第一季就將無從藏匿,儘速規畫移轉方案才是王道。


熱門新聞

Advertisement