愤怒的证书颁发机构呼吁谷歌给网站更多的时间,在Chrome浏览器显示警告之前升级浏览器到服务器通信的安全性。
从这个月开始,对于访问没有从SHA-1升级到SHA-2的网站的Chrome用户,谷歌大约6个月的时间里逐步增加了通知,CAs对此感到不满。
SHA是“安全哈希算法”的缩写,用于在浏览器和web服务器之间的安全连接上对移动的数据进行干扰。当存在这样的连接时,浏览器通常会在URL中显示HTTPS。
大多数网站使用基于sha -1的签名作为其证书链的一部分。哈希算法有众所周知的安全弱点,这些弱点随着SHA-2的出现而消失。
然而,从sha - 1切换到新版本需要更新所有公钥证书(PKCs)由CA签发。因为许多组织有几十个甚至几百个证书,这样升级需要时间改变影响系统,然后测试他们对于可能出现的问题,韦恩·塞耶,总经理CA发行人GoDaddy的安全产品。
“谷歌并不真正理解这对大企业和小型家庭经营企业来说有多大的痛苦,”Thayer说,他也是CA安全理事会指导委员会的成员。
谷歌拒绝置评。然而,在9月5日博文该公司说,它希望在黑客成功拦截信用卡号码或个人信息等敏感数据之前,向网站施压,要求它们做出改变。
该公司表示:“我们需要确保,当针对SHA-1的攻击被公开展示时,网络已经远离它。”
虽然谷歌相信它在做正确的事情,CAs不同意这种威胁需要如此激进的时间表。相反,他们更喜欢微软的方法,等到2017年1月1日,再逐步取消对ie中SHA-1的支持。
赛门铁克产品管理高级总监Rob Hoblit说:“如果有明确的证据表明SHA-1可以被作为一种哈希算法击败,我们会第一个说,‘嘿,你需要立即替换这些算法。’”“不用急着升级那些还在运行,而且会对很多客户造成干扰的东西。”
除了提供的时间太少之外,CAs说谷歌不应该在圣诞购物季节开始在url中放置通知,特别是因为电子商务网站在一年中最繁忙的时候没有时间进行如此大规模的升级。
Hoblit说:“我们的很多客户,特别是那些做电子商务的客户,在11月和12月的假日购物季节,他们的基础设施会进入全面封锁状态。”
谷歌的SHA-1计划从9月26日Chrome 39版本的发布开始。使用有效期在2016年12月31日之后的证书,并且使用SHA-1的网站将被视为“安全的,但有小错误”。
这意味着谷歌将开始在HTTPS旁边的锁定图像上显示一个黄色三角形。
随着11月7日Chrome 40的发布,使用SHA-1证书的网站将被视为“中立的,缺乏安全性的”。SHA-1证书有效期为2016年6月1日至2016年12月31日。
这些网站仍然会在其URL中获取HTTPS,但在其旁边不再有一个锁。
从将于2015年第一季度发布的Chrome 41开始,使用SHA-1证书的网站将在2016年12月31日过期,将被视为“绝对不安全”,并在锁定图像上得到红色的X,在HTTPS上得到红色的stri- through。
此外,访问此类网站的人将被警告潜在的安全问题,并将不得不通过点击警告来访问该网站,塞耶说。
“谷歌与证书颁发机构的tiff如何影响您”这篇文章最初由方案 。