Другие новости

Миллионы пользователей Интернет столкнутся с проблемой из-за перехода сайтов на шифрование SHA2

24.10.2015 | 18:02 Аналитика

«Мы собираемся оставить большую часть Интернета в прошлом», но миллионы людей остаются зависимыми от старого, незащищенного, но широко используемого шифрования».

В 2016 году десятки миллионов людей по всему миру столкнутся с проблемой доступа к некоторым из наиболее распространенных зашифрованных сайтов, таких как Facebook, Google, Gmail, Twitter и Microsoft.

Почему? Потому что их браузер или устройство не сможет прочитать новые, более безопасные сертификаты.

Криптографический алгоритм хэширования SHA1, который использовался для обеспечения безопасности в Интернете в течение десяти лет, будет отправлен на пенсию через год.

Некоторые говорят, что его могут взломать до конца этого года, что сделает его бесполезным и ослабит безопасность миллионов пользователей.

Центры сертификации перестанут выдавать сертификаты SHA1 в полночь, 1 января 2016 года, а вместо этого будут использовать сертификаты SHA2. Шифрование SHA2 обладает значительно более сильным алгоритмом, который будет работать в течение многих лет в будущем. Однако, существует одна проблема. Значительная часть пользователей Интернета не обладают браузерами или устройствами, совместимыми с SHA2.

«Мы собираемся оставить большую часть Интернета в прошлом», говорит исполнительный директор CloudFlare Мэтью Принс.

Миллион веб-сайтов использует слабое шифрование

Шифрование важно не только для защиты онлайн-банкинга, учетных записей электронной почты, и социальных сетей. Зеленая подсветка или замок в строке браузера также дает пользователю уверенность, что страница не была кем-то изменена.

Все больше сайтов в настоящее время используют шифрование, потому что его достаточно просто реализовать.

Во времена ежедневных взломов данных и массовой слежки, принятие сильного алгоритма SHA2 становится важнее, чем когда-либо. Однако производители браузеров и владельцы сайтов, похоже, думают, что у них есть достаточно времени.

Известные исследователи безопасности предполагали, что SHA1 продержится до 2018 года, но теперь считается, что алгоритм SHA1 может быть взломан в конце 2015 года.

Хорошей новостью является то, что большинство веб-сайт уже используют более сильные сертификаты SHA2. Около 24% сайтов с SSL-шифрованием до сих пор используют SHA1 — это около 1 млн. веб-сайтов.

Эта цифра уменьшается ежемесячно, так что к концу года она может упасть ниже 10% от всех веб-сайтов, то есть подавляющее большинство зашифрованных сайтов будут защищены от атак коллизии SHA1.

Большинству людей не о чем волноваться. Большинство уже используют новейшие браузеры Chrome или Firefox, последнюю операционную систему, или новейший смартфон с новейшим программным обеспечением, которые совместимы как со старыми SHA1-хэшированными веб-сайтами, так и с новыми веб-сайтами с SHA2-хэшем.

Но многие, особенно в развивающихся странах, использующие старое программное обеспечение, устройства, и даже простые мобильные телефоны с базовым мобильным интернетом, столкнутся с проблемой, потому что их устройства даже не знают, что такое SHA2.

Один миллион неудавшихся загрузок из-за апгрейда Mozilla

Не существует способа, чтобы точно сказать, скольких людей затронет проблема, пока эта ситуация не случится, отчасти потому, что не существует никаких конкретных данных о том, сколько людей работают на старых или неподдерживаемых браузерах или устройствах.

Иван Ристич, руководитель SSL Labs в Qualys, сказал, что Windows XP SP2 и более ранние версии ОС, а также Android 2.2 и более ранние не поддерживают сертификаты SHA2.

Нет никаких точных данных и цифр. Известно только, что использование неподдерживаемых систем остается достаточно низким во всем мире, но все еще имеет двузначные проценты в Китае, Африке, Индии, Вьетнаме и других развивающихся странах, на которые приходится десятки миллионов пользователей. Microsoft считает, что 1% пользователей в мире по-прежнему использует неподдерживаемые браузеры, а это 70 миллионов, которые столкнутся с проблемой SHA2-хэшированных зашифрованных сайтов.

«Учитывая, что 75% сайтов мигрируют на SHA2, вполне вероятно, что пользователи со старыми браузерами все чаще начнут испытывать проблемы на протяжении 2016 года», говорит Ристич.

В прошлом году Mozilla испытала это на себе. Производитель браузера обновил свой веб-сайт новым сертификатом SSL с SHA2-хэшем. Те, кто использовал браузер или операционную систему, которая не поддерживает SHA2, не смогли попасть на веб-сайт.

Шифрование сайтов становится все более распространенным, поскольку безопасность становится все более актуальным вопросом. Но это не всегда просто осуществить простым переходом на новый браузер. Во многих случаях это включает в себя модернизацию аппаратных средств — телефоны и компьютеры, которые многие не могут себе позволить, или не могут получить из-за торговых ограничений.

«Мы пытаемся заставить всех перейти на последнюю версию для обеспечения безопасности, и это хорошо, но чтобы сделать это, мы должны поддерживать прошлое», сказал Принс.

Потенциально у нас только несколько дней или недель, прежде чем будет взломан SHA1, поэтому необходимость перейти на более защищенное шифрование актуальна как никогда.

Принс сказал, что индустрия требует «лучшую безопасность, но в процессе перехода мы все ломаем».

«Лучшие намерения имеют неприятные последствия», сказал он. «И это меня чертовски пугает».

Обновление «убило один миллион загрузок», сказал Крис Мур из Mozilla после произошедшего инцидента. «Многие в мире по-прежнему используют старые браузеры и пришли на наш сайт, чтобы загрузить Firefox», сказал он.

И это происходит не в последний раз.

«Ненадежное соединение»

После того, как SHA1 станет не доступен с 2016 года, у владельцев веб-сайтов и производителей будет целый год, чтобы перейти на SHA2.

Через год, начиная с 2017 года, браузеры Chrome и Firefox, встретившие старый сертификат SHA1, покажут предупреждение пользователю, что соединение является ненадежным. В некоторых случаях, пользователи Firefox могут получать предупреждения в течение 2016 года.

Mozilla заявляет, что может передвинуть дату на июль 2016 года, если взлом SHA1 окажется успешным.