هشدار موزیلا در مورد عوارض جانبی طرد SHA-۱

همان‌طور که وعده داده شده بود، موزیلا از ابتدای سال رسماً به حذف گواهی‌نامه‌‌های جدید SHA-۱ پرداخت. و همان‌طور که پیش‌بینی شده بود برخی مشکلات در استفاده از آن وجود داشته‌اند.
موزیلا دیروز اعلام کرد که برخی از نرم‌افزارهای پویش‌گر امنیتی و محصولات ضدبدافزاری مانع از دسترسی به برخی از وب‌گاه‌‌های HTTPS می شوند.
ریچارد بارنز از بنیاد موزیلا می‌گوید: «هنگامی که یک کاربر تلاش می‌کند تا به یک وب‌گاه HTTPS دسترسی پیدا کند، دستگاه مرد میانی به فایرفاکس به جای گواهی‌نامه‌‌ی واقعی یک گواهی‌نامه‌ی‌ جدید SHA-۱ ارسال می‌کند و چون فایرفاکس گواهی‌نامه‌ی‌ جدید SHA-۱ را رد می‌کند، بنابراین او نمی‌تواند به کارگزار متصل شود.»
برخی از کارشناسان در اواخر سال گذشته نگرانی‌های خود را از حرکت بسیاری از مرورگرهای بزرگ به سمت تعیین مهلتی برای عدم پشتیبانی از گواهی‌نامه‌های SHA-۱ اعلام کردند که موجب خواهد شد بخش قابل توجهی از کاربران اینترنت از دستیابی به این شبکه محروم شوند.
رئیس بخش امنیت فیس‌بوک Alex Stamos تعداد این افراد را ده‌ها میلیون نفر اعلام کرد، در حالی که مدیر اجرایی شرکت CloudFlare این میزان را با بررسی تخصصی تر در حدود ۳۷ میلیون نفر دانست.
Stamos می‌گوید: «تعدادی از این افراد کسانی هستند که در کشورهای در حال توسعه اقامت دارند، و به احتمال زیاد علت این امر اقدامات انجام شده در این کشورها در مسیر یک سیر رو به عقب برای به‌کارگیری HTTPS است که توسط دولت‌ها، شرکت‌ها و NGO ها ‌صورت می‌گیرد زیرا آن‌ها می‌خواهند به جمعیت هدف خود در این کشورها دسترسی داشته باشند.»
او می‌افزاید که شرایط امروز برای پشتیبانی از الگوریتم‌های رمزنگاری جدیدتر متفاوت است. برخلاف زمانی که MD۵ حذف گردید و به جای آن پشتیبانی از SHA-۱ به صورت گسترده‌ای آغاز شد، شرایط امروز با آن هنگام تفاوت داشته و نمی‌توان به همان شکل این روند را اجرا کرد چرا که دستگاه‌های تلفن قدیمی‌تر از این فن‌آوری پشتیبانی نمی‌کنند.
Prince می‌گوید: «در میان شرکت‌های فن‌آوری واقع در «سیلیکون‌ولی» که بسیاری از کارکنان آن‌ها هر سال لپ‌تاپ‌های جدیدی دریافت می‌کنند، کسی صحبت از داشتن یک گوشی با قدمت پنج سال نمی‌کند و از این لحاظ مشکلی وجود ندارد. اما اینترنت توسط میلیاردها نفر از مردم در دیگر نقاط دنیا استفاده می‌شود و بسیاری از آن‌ها آخرین فن‌آوری‌های روز را در اختیار ندارند.»
گواهی‌نامه‌ی‌ SHA-۱ به لحاظ نظری شکست خورده است و پژوهش‌گران دانشگاهی می‌گویند که با توجه به استفاده از منابع و قدرت محاسباتی آتی ممکن است حملاتی از سوی نفوذگران مورد حمایت دولت- علیه ملت‌ها با استفاده از این گواهی‌نامه‌ صورت گیرد.
Barnes می‌گوید که راه حل کوتاه مدت نصب دستی آخرین نسخه‌ی فایرفاکس تا زمانی است که برای HTTPS به‌روزرسانی ارائه شود.
بارنز میگوید: «اگر کسی بخواهد از نصب مجدد جلوگیری کند، کاربران حرفه‌ای می‌توانند به قسمت about:config مراجعه کرده و مقدارsecurity.pki.sha۱_enforcement_level را به صفر تغییر دهند (که در این صورت همه‌ی گواهی‌نامه‌های SHA-۱ را خواهد پذیرفت).

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap