Microsoft ilmoitti äskettäin aikomuksestaan ​​luopua SHA-1-hajautusalgoritmin allekirjoittamista TLS-varmenteista helmikuusta 2017 alkaen. Microsoft tunnusti lisäksi, että lukuisiin verkkosivustoihin, käyttäjiin ja kolmansien osapuolien sovelluksiin kohdistuu vakavia haasteita, kun yritys pahoittelee SHA-1: tä. allekirjoitetut sertifikaatit.

Microsoft Edge ja Internet Explorer 11 estävät 14. helmikuuta 2017 alkaen SHA-1-varmenteella suojattujen sivustojen lataamista ja näyttävät virheellisen varmennusvaroituksen. Vaikka emme suosittele sitä voimakkaasti, käyttäjillä on mahdollisuus sivuuttaa virhe ja jatkaa verkkosivustolle, Microsoft sanoi blogiviestissä.

Ilmoitus ei ole tarkalleen uutinen: yritys vihjasi niin paljon jo marraskuussa.

SHA-1-hajautusalgoritmi, jota käytetään Internet-tietoturvaan yhdessä HTTPS-protokollan ja verkkosivustojen suojaamiseen käytettyjen varmenteiden kanssa, on vuodesta 2005 alkaen julistettu vaarallisiksi ja alttiiksi hyvin rahoitettujen vihollisten hyökkäyksille, mutta sitä on käytetty laajalti ennen SHA: ta. Mukana olivat myös -2- ja SHA-3-algoritmit, jotka testattiin turvallisemmiksi vaihtoehdoiksi hajautustoimintoille. Aloite ei ole uusi, ja Google ja Mozilla ovat aiemmin tuominneet ja hylänneet toiminnon, koska ne ovat alttiimpia kryptografisille törmäyksille kuin arvioitiin.

Microsoft on ilmoittanut, että niiden selaimet, Edge ja Internet Explorer, estävät nyt SHA-1-allekirjoitettuja varmenteita käyttäviä sivustoja latautumasta ja näyttävät "virheellisen varmenteen" -varoituksen palvelun turvallisuuden palauttamiseksi. Vaikka käyttäjiä ei pakoteta ohittamaan sivustoja, heillä on mahdollisuus ohittaa uhka ja päästä mahdollisesti haavoittuvaiseen verkkosivustoon varoituksesta huolimatta, ilman "bar lock" -luottamuskuvaketta, jonka käyttäjät näkevät selaimensa osoiterivillä..

Nämä muutokset eivät vaikuta kolmansien osapuolien Windows-sovelluksiin, jotka käyttävät Windows SHA-1 -salausohjelmien sovellusliittymää tai Internet Explorerin entisiä versioita.