Google откажется от использования SHA-1 для HTTPS в браузере Chrome
Google начнёт предупреждать пользователей при открытии HTTPS-сайтов, которые используют шифрование SHA-1, признанного слабым алгоритмом.
Отказ от SHA-1 будет проходить в несколько этапов. С выходом браузера Chrome 39, сайты чьи сертификаты заканчиваются после 1 января 2017 года будут отмечены пиктограммой как безопасные сайты с небольшими ошибками. В Chrome 40 сайты, чьи сертификаты подписаны SHA-1, будут отмечаться также, как обычные сайты без шифрования. И в версии Chrome 41 соединения с такими сайтами будут считаться небезопасными.
Алгоритм SHA-1 был признан слабым ещё в 2005 году. Атаки с подбором коллизий становятся более доступными и шифрование больше не может считаться безопасным, несмотря на то, что до сих пор известных случаев подбора нет. Организация NIST отклонила использование SHA-1 в правительственных организациях ещё в 2010 году, в 2011 в «Основных требованиях к SSL», сформулированных CA/Browser Forum, была дана рекомендация по наискорейшему переходу с SHA-1.
Автор: Никита Лялин по материалам Chromium Blog.