[amres-info] Google Chrome i SHA-1 sertifikati

Miloš Kukoleča milos.kukoleca at amres.ac.rs
Wed Apr 22 10:59:08 CEST 2015 

Poštovane koleginice i kolege,

 

Ovo obaveštenje se odnosi na sve AMRES korisnike TCS servisa (servisa
izdavanja digitalnih serverskih sertifikata) koji koriste sertifikate za
svoje web sajtove.

 

Možda ste već upoznati sa informacijom da se SHA-1 hashing algoritam napušta
jer je procenjeno da nije dovoljno siguran. Predlaže se korišćenje bilo koje
verzije SHA-2 algoritma.

 

SHA-1 je masovno korišćen u digitalnim sertifikatima (serverskim i
personalnim) a pre par godina je na nivou Internet zajednice donesena odluka
da se SHA-1 polako i postepeno zameni sigurnijim hashing algoritmima. U
skladu sa tim, Microsoft je doneo odluku da više neće priznavati digitalne
sertifikate koji koriste SHA-1 algoritam nakon 01.01.2017. godine. Ovu
odluku slede svi važniji činioci na Internetu (Google, Mozilla itd.). U
skladu sa tom odlukom sertifikacione kuće su poslednjih par meseci
sprovodile sledeću politiku:

 

-          Ukoliko validnost sertifikata ističe pre 01.01.2017. godine
korisnici mogu dobiti SHA-1 sertifikat

-          Ukoliko validnost sertifikata ističe nakon 01.01.2017. godine
korisnici po pravilu, bez obzira da li su to eksplicitno tražili ili ne,
dobijaju SHA-2 sertifikat

 

Međutim, pojavio se mali međuprostor u prvim mesecima 2014. godine kada su
pojedine sertifikacione kuće izdavale SHA-1 sertifikate čija važnost ističe
nakon 01.01.2017. godine. Nažalost jedna od takvih CA kuća je i Comodo koji
izdaje sertifikate u okviru AMRES TCS servisa.

 

Google je prepoznao ovaj problem i u najnovijem Google Chrome Internet
pregledaču implementirao funkciju koja za sve SHA-1 sertifikate koji ističu
nakon 01.01.2017. godine prikazuje upozorenje u vidu crvenog precrtanog
HTTPS znaka. HTTPS konekcija na ovim sajtovima nije ugrožena, međutim
korisnici mogu posumnjati u verodostojnost sajta i odustati od daljeg
pristupa. Ideja Google-a je da natera sve web sajtove koji koriste SHA-1
sertifikate da ih zamene sa sigurnijim SHA-2 sertifikatom. Za sada je ovu
funkciju implementirao samo Google Chrome, dok se na Internet Exploreru i
Mozilla Firefox pregledačima ovaj problem ne može uočiti.

 

U skladu sa svim navedenim, AMRES preporučuje svim svojim institucijama,
korisnicima AMRES TCS servisa, da provere sertifikate svojih web sajtova.
Ukoliko Google Chrome pretraživač prikazuje upozorenje prilikom pristupa web
sajtu, preporučuje se da institucija zatraži novi sertifikat preko AMRES TCS
servisa. Institucija će potom dobiti SHA-2 sertifikat. Želimo posebno da
napomenemo da se ovo odnosi SAMO na one sertifikate koji su izdati u prvim
mesecima 2014. godine i čija važnost ističe nakon 01.01.2017. godine a
koriste se za potrebe web sajtova.

 

Srdačan pozdrav,

 

Miloš Kukoleča, M.Sc.E.E. CCNP

Network Security Engineer

 

Description: bplogo

 

Akademska mreža Republike Srbije

Bulevar Kralja Aleksandra 90, 11000 Beograd, Srbija

 

Tel:                   +381 11 7158 950

Mob:                +381 66 8433 096

Fax:                  +381 11 3370 288

Email               milos.kukoleca at amres.ac.rs

Internet:           <http://www.amres.ac.rs/> http://www.amres.ac.rs

 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://afrodita.rcub.bg.ac.rs/pipermail/amres-info/attachments/20150422/9b9ef777/attachment-0001.html 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: image/gif
Size: 3571 bytes
Desc: not available
Url : http://afrodita.rcub.bg.ac.rs/pipermail/amres-info/attachments/20150422/9b9ef777/attachment-0001.gif 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 6819 bytes
Desc: not available
Url : http://afrodita.rcub.bg.ac.rs/pipermail/amres-info/attachments/20150422/9b9ef777/attachment-0001.bin

More information about the amres-info mailing list