مایکروسافت نیز بر روی مرورگرهای خود از گواهی‌نامه‌های SHA-۱ پشتیبانی نمی‌کند

در سال جاری از تاریخ ۹ می، بر روی مرورگرهای اِج مایکروسافت و اینترنت اکسپلورر ۱۱ از وب‌گاه‌هایی که با استفاده از گواهی‌نامه‌های SHA-۱ حفاظت می‌شوند، پشتیبانی نخواهد شد.

تابع درهم‌سازی SHA-۱ در سال ۱۹۹۵میلادی معرفی شد و چندین بار اثبات شده که ناامن است. اولین حمله بر روی این الگوریتم به ۱۰ سال قبل برمی‌گردد. در سال ۲۰۱۵ میلادی نیز بر روی این الگوریتم حمله‌ای صورت گرفت که هزینه‌ی انجام حمله را کمتر کرده بود. اوایل امسال نیز شرکت گوگل نشان داد که این‌گونه حملات رفته‌رفته بسیار عملیاتی می‌شوند.

در حالی‌که در چند سال گذشته، صنایع دیگر از SHA-۱ استفاده نمی‌کنند ولی باز هم هستند وب‌گاه‌هایی که بر روی آن‌ها از SHA-۱ استفاده شده است. از ژانویه‌ی سال ۲۰۱۷، مراکز صدور گواهی‌نامه با استفاده از این تابع درهم‌سازی گواهی‌نامه‌ای صادر نمی‌کنند و در ماه مارس نیز گزارش شده بود که تنها بر روی یک پنجم از وب‌گاه از این الگوریتم استفاده می‌شود. این میزان در مقایسه با سال قبل از کاهش چشمگیری برخوردار بوده است.

دیگر مرورگرهای وب تقریباً از ۲ سال قبل برنامه‌ریزی کردند تا الگوریتم درهم‌سازی SHA-۱ را کنار بگذارند ولی با این‌حال مایکروسافت سال قبل تأیید کرد که چنین برنامه‌ای را در نظر دارد. مایکروسافت اعلام کرد در مرحله‌ی اول زمانی که کاربر بر روی مایکروسافت اج و اینترنت اکسپلورر ۱۱ از یک وب‌گاه با گواهی‌نامه‌ی SHA-۱ بازدید می‌کرد، هشداری به او نمایش داده می‌شود ولی از ابتدای این هفته، این وب‌گاه‌ها دیگر بارگذاری نخواهند شد.

این شرکت اعلام کرد: «مایکروسافت توصیه می‌کند کاربران از الگوریتم‌هایی مانند SHA-۲ استفاده کنند چرا که استفاده از گواهی‌نامه‌های SHA-۱ منسوخ شده و دیگر به‌عنوان بهترین گزینه محسوب نمی‌شود. یکی از ضعف‌های عمده در الگوریتم SHA-۱ امکان حمله‌ی تصادم است. این حملات به مهاجمان سایبری اجازه می‌دهد گواهی‌نامه‌هایی را تولید کنند که امضای دیجیتال آن مشابه با امضای موجود در گواهی‌نامه‌ی اصلی است.»

موزیلا و گوگل نیز در مرورگرهای فایرفاکس و کروم از اوایل سال جاری، پشتیبانی از SHA-۱ را کنار گذاشته‌اند. هدف نهایی در خصوص این موضوع این است که بتوانیم استفاده از الگوریتم درهم‌سازی SHA-۱ را در تمامی اینترنت از بین ببریم.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.