Google เตรียมพิจารณายกเลิกการใช้ Certificate ที่ Sign ด้วยฟังก์ชันแฮชแบบ SHA-1 บน Google Chrome ของตนให้เร็วขึ้น จากเดิมที่คาดว่าจะยกเลิกในวันที่ 1 มกราคม 2017 กลายเป็นยกเลิกในวันที่ 1 กรกฎาคม 2016 พร้อมกับ Mozilla และ Microsoft แทน
สาเหตุหลักที่ทั้ง 3 บริษัทเลื่อนการยกเลิกให้เร็วขึ้น สืบเนื่องมาจากเมื่อไม่กี่เดือนที่ผ่านมา มีการค้นพบว่า SHA-1 นั้นเปราะบางต่อการถูกแฮ็คมากกว่าที่เคยคาดไว้ (
https://www.techtalkthai.com/collision-found-in-sha-1-hash-algorithm/) แฮ็คเกอร์สามารถปลอม Digital Signature เพื่อโจมตีระบบปลอดภัยต่างๆ เช่น ปลอมแปลงข้อมูลธุรกรรมการเงิน ปลอมแปลงไฟล์สำหรับดาวน์โหลด และอื่นๆได้อย่างง่ายดาย
การเปลี่ยนแปลงนี้ส่งผลให้ Google Chrome เวอร์ชัน 48 ที่คาดว่าจะเปิดให้อัพเดทต้นปีหน้า เริ่มมีการแจ้งเตือนผู้ใช้ในกรณีที่เข้าถึงเว็บไซต์ที่ใช้ Certificate ที่ออกหลังวันที่ 1 มกราคม 2016 และใช้ Digital Signature แบบ SHA-1 เนื่องจากเมื่อเข้าสู่ปีหน้า CA ทุกเจ้าไม่น่าจะมีการออก Certificate รูปแบบนั้นอีก
ในขณะที่ทาง Facebook และเว็บไซต์อื่นๆที่ CloudFlare ดูแลอยู่จะมีการติดตั้งระบบ SHA-1 Fallback เพื่อให้ผู้ที่ใช้เบราเซอร์และระบบปฏิบัติการที่ไม่รองรับ SHA-2 (ฟังก์ชันแฮชที่จะถูกนำมาใช้แทน SHA-1) ยังคงสามารถเข้าถึงเว็บไซต์ต่อไปได้ เนื่องจากบริษัทเหล่านี้มองเห็นว่าผู้ใช้หลายล้านคนจากประเทศที่กำลังพัฒนาอาจประสบกับปัญหาดังกล่าว นอกจากนี้ยังระบุอีกว่า CA ควรออก Certificate แบบ SHA-1 ต่อไป แต่ให้เฉพาะเว็บไซต์ที่มีการใช้ Certificate แบบ SHA-2 และมีระบบ Fallback รองรับบริการให้ผู้ใช้ที่ยังไม่พร้อมอัพเดทเท่านั้น
Credit: Tashatuvango/ShutterStock
ที่มา:
http://www.networkworld.com/article/3017561/google-joins-mozilla-microsoft-in-pushing-for-early-sha-1-crypto-cutoff.html
ที่มา2:
https://www.techtalkthai.com/google-will-cut-off-sha-1-certificates-soon/
Google เตรียมยกเลิก SHA-1 พร้อมกับ Mozilla และ Microsoft
Google เตรียมพิจารณายกเลิกการใช้ Certificate ที่ Sign ด้วยฟังก์ชันแฮชแบบ SHA-1 บน Google Chrome ของตนให้เร็วขึ้น จากเดิมที่คาดว่าจะยกเลิกในวันที่ 1 มกราคม 2017 กลายเป็นยกเลิกในวันที่ 1 กรกฎาคม 2016 พร้อมกับ Mozilla และ Microsoft แทน
สาเหตุหลักที่ทั้ง 3 บริษัทเลื่อนการยกเลิกให้เร็วขึ้น สืบเนื่องมาจากเมื่อไม่กี่เดือนที่ผ่านมา มีการค้นพบว่า SHA-1 นั้นเปราะบางต่อการถูกแฮ็คมากกว่าที่เคยคาดไว้ (https://www.techtalkthai.com/collision-found-in-sha-1-hash-algorithm/) แฮ็คเกอร์สามารถปลอม Digital Signature เพื่อโจมตีระบบปลอดภัยต่างๆ เช่น ปลอมแปลงข้อมูลธุรกรรมการเงิน ปลอมแปลงไฟล์สำหรับดาวน์โหลด และอื่นๆได้อย่างง่ายดาย
การเปลี่ยนแปลงนี้ส่งผลให้ Google Chrome เวอร์ชัน 48 ที่คาดว่าจะเปิดให้อัพเดทต้นปีหน้า เริ่มมีการแจ้งเตือนผู้ใช้ในกรณีที่เข้าถึงเว็บไซต์ที่ใช้ Certificate ที่ออกหลังวันที่ 1 มกราคม 2016 และใช้ Digital Signature แบบ SHA-1 เนื่องจากเมื่อเข้าสู่ปีหน้า CA ทุกเจ้าไม่น่าจะมีการออก Certificate รูปแบบนั้นอีก
ในขณะที่ทาง Facebook และเว็บไซต์อื่นๆที่ CloudFlare ดูแลอยู่จะมีการติดตั้งระบบ SHA-1 Fallback เพื่อให้ผู้ที่ใช้เบราเซอร์และระบบปฏิบัติการที่ไม่รองรับ SHA-2 (ฟังก์ชันแฮชที่จะถูกนำมาใช้แทน SHA-1) ยังคงสามารถเข้าถึงเว็บไซต์ต่อไปได้ เนื่องจากบริษัทเหล่านี้มองเห็นว่าผู้ใช้หลายล้านคนจากประเทศที่กำลังพัฒนาอาจประสบกับปัญหาดังกล่าว นอกจากนี้ยังระบุอีกว่า CA ควรออก Certificate แบบ SHA-1 ต่อไป แต่ให้เฉพาะเว็บไซต์ที่มีการใช้ Certificate แบบ SHA-2 และมีระบบ Fallback รองรับบริการให้ผู้ใช้ที่ยังไม่พร้อมอัพเดทเท่านั้น
Credit: Tashatuvango/ShutterStock
ที่มา: http://www.networkworld.com/article/3017561/google-joins-mozilla-microsoft-in-pushing-for-early-sha-1-crypto-cutoff.html
ที่มา2: https://www.techtalkthai.com/google-will-cut-off-sha-1-certificates-soon/