科技中心

2016年底HTTPS大事件

29 6月 , 2019  

从很久以前开始,Google 便不再对 SHA-1
凭证抱有信心,而早些时候他们正式在自己的在线安全博客中宣布,即将上线的
Chrome 48(目前已处在 Beta 阶段)在遇到签发时间不早于 2016 年 1 月 1
日的 SHA-1 凭证时,将会自动显示「您未处在私密联网状态」的警告。

2016年已经余额不足,即将迈向新年的最后一个月,SSL相关的这几个大事件你知道吗?业界巨头为推进HTTPS更安全、更广泛应用而制定相关计划进展如何呢?

显然,Google 不希望用户遇到这样的情况,因为相关机构已经被要求在 2016
年内停止 SHA-1 凭证的签发。为了以防万一,在 Chrome 彻底停止支持
SHA-1(2017 年 1 月 1
日)以前,上述警告在必要时都会出现。在那之后,仍旧坚持使用 SHA-1
的网站,在用户浏览过程中将会导致网络错误。实际上,在过去数年间 SHA-1
的安全性一直在变得越来越差,包括 Firefox、微软 Edge
在内的一些其它浏览器也都正准备将其放弃。这样的做法,应该会尽可能加快
SHA-2 的普及吧。

停止支持SHA-1证书

逐步停止对 SHA-1 支持的决策最早是由 Google 在 2014 年末提出的,很快
Mozilla 和Microsoft也跟进,2017年将在各大浏览器中正式执行。

Chrome

2017年1月发布的Chrome 56版本开始,不再信任任何来自公共认证机构的 SHA-1
认证,对现有的 SHA-1 认证会给出警告。但是对于那些在企业内部使用的私有
PKI,Chrome 将会继续提供 SHA-1 支持。

Firefox

Firefox计划于2017年1月发布的Firefox 51中停止信任 SHA-1 认证。

Edge和IE11

Mircosoft Edge 和 InternetExplorer 11 浏览器将于 2017 年 2 月 14
日停止加载使用 SHA-1
认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的
SHA-1 认证将不会受到影响。

即使现在移除 SHA-1
支持早已进入倒计时阶段,但在一千一百万个可访问的网站中,仍有 35%
的网站依然在使用 SHA-1
认证。网站所有者应尽快检查自己的网站证书是否仍在使用SHA-1证书,并申请SHA-2证书部署替换。沃通新证书产品已经上线,新品推广期间申请沃通超真SSL
Pre
​通配型证书可享8折优惠,名额有限先到先得。

图片 1

检查SHA-1

HTTP页面标记“不安全”

HTTP是明文协议,任何通过该协议传输的数据都以明文的方式在网络中“裸奔”,任何信息数据都处在的窃听、篡改、冒充这三大风险之中。全球互联网正在进行从HTTP到HTTPS的大迁移,主流互联网应用已经逐步完成HTTPS加密的建设。为推动HTTPS的普及,各大浏览器将针对没有正确加密的HTTP页面给出警告,让用户了解使用HTTP协议可能存在的安全风险。

Chrome

2017年1月发布的Chrome
56版本开始,将把含密码或信用卡信息传输的HTTP页面标记 “不安全”


相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图