部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划
发布日期:2016-01-11因部分使用SHA-1新证书的HTTPS站点无法访问,Mozilla将暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。
为什么暂时恢复支持SHA-1
根据Mozilla之前公布的SHA-1弃用计划,2016年1月1日起,Firefox 43开始拒绝新颁发的SHA-1证书,虽然这项计划对大部分火狐用户没有影响,但是由于不少设备与平台未能及时跟进,仍有部分用户受此影响,无法访问使用SHA-1新证书的HTTPS网站,尤其是一些中间人设备,如安全扫描和杀毒软件等。
"当用户尝试连接一个HTTPS站点时,中间人设备会给Firefox发送一个新的SHA-1证书,而不是来自服务器的真实证书。由于Firefox拒绝新的SHA-1证书,它就无法连接到服务器了。"Mozilla安全博客解释道。
用户可以通过Firefox"高级"选项可以查看目前的版本是否受到影响,如果看到错误代码SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED,可以通过安装Firefox的最新版本解决该问题。
坚持弃用SHA-1
Mozilla仍然坚持致力于取消Firefox对SHA-1证书的支持。暂时恢复支持SHA-1证书,只是为了确保能为中间人设备的用户提供更新,能够更好的评估有多少用户受此影响。
Mozilla没有说什么时候会再次弃用SHA-1,安全工程师理查德·巴恩斯认为可能会在Firefox45或46版本再次放弃对SHA-1的支持。
SHA-1过渡期的烦恼
CloudFlare的首席执行官马修表示,将有3亿用户将面临该问题的影响,其中中国的情况最为严重。
沃通CA作为国际CA浏览器论坛中首个中国成员单位,早在主办2014年国际CA浏览器论坛北京秋季工作会议时,就曾代表中国用户提出建议,希望各国际浏览器厂商充分考虑中国国情,提出针对性的应对方案,但考虑到全球互联网的整体安全,停止使用SHA-1算法也只是时间问题。
参考来源:Mozilla安全博客、ZDnet 沃通原创文章,转载请附本文链接http://www.wosign.com/News/2016-0111-01.htm