چاپ        ارسال به دوست

مایکروسافت نیز بر روی مرورگرهای خود از گواهی‌نامه‌های SHA-۱ پشتیبانی نمی‌کند

در سال جاری از تاریخ ۹ می، بر روی مرورگرهای اِج مایکروسافت و اینترنت اکسپلورر ۱۱ از وب‌گاه‌هایی که با استفاده از گواهی‌نامه‌های SHA-۱ حفاظت می‌شوند، پشتیبانی نخواهد شد.

تابع درهم‌سازی SHA-۱ در سال ۱۹۹۵میلادی معرفی شد و چندین بار اثبات شده که ناامن است. اولین حمله بر روی این الگوریتم به ۱۰ سال قبل برمی‌گردد. در سال ۲۰۱۵ میلادی نیز بر روی این الگوریتم حمله‌ای صورت گرفت که هزینه‌ی انجام حمله را کمتر کرده بود. اوایل امسال نیز شرکت گوگل نشان داد که این‌گونه حملات رفته‌رفته بسیار عملیاتی می‌شوند.

در حالی‌که در چند سال گذشته، صنایع دیگر از SHA-۱ استفاده نمی‌کنند ولی باز هم هستند وب‌گاه‌هایی که بر روی آن‌ها از SHA-۱ استفاده شده است. از ژانویه‌ی سال ۲۰۱۷، مراکز صدور گواهی‌نامه با استفاده از این تابع درهم‌سازی گواهی‌نامه‌ای صادر نمی‌کنند و در ماه مارس نیز گزارش شده بود که تنها بر روی یک پنجم از وب‌گاه از این الگوریتم استفاده می‌شود. این میزان در مقایسه با سال قبل از کاهش چشمگیری برخوردار بوده است.

دیگر مرورگرهای وب تقریباً از ۲ سال قبل برنامه‌ریزی کردند تا الگوریتم درهم‌سازی SHA-۱ را کنار بگذارند ولی با این‌حال مایکروسافت سال قبل تأیید کرد که چنین برنامه‌ای را در نظر دارد. مایکروسافت اعلام کرد در مرحله‌ی اول زمانی که کاربر بر روی مایکروسافت اج و اینترنت اکسپلورر ۱۱ از یک وب‌گاه با گواهی‌نامه‌ی SHA-۱ بازدید می‌کرد، هشداری به او نمایش داده می‌شود ولی از ابتدای این هفته، این وب‌گاه‌ها دیگر بارگذاری نخواهند شد.

این شرکت اعلام کرد: «مایکروسافت توصیه می‌کند کاربران از الگوریتم‌هایی مانند SHA-۲ استفاده کنند چرا که استفاده از گواهی‌نامه‌های SHA-۱ منسوخ شده و دیگر به‌عنوان بهترین گزینه محسوب نمی‌شود. یکی از ضعف‌های عمده در الگوریتم SHA-۱ امکان حمله‌ی تصادم است. این حملات به مهاجمان سایبری اجازه می‌دهد گواهی‌نامه‌هایی را تولید کنند که امضای دیجیتال آن مشابه با امضای موجود در گواهی‌نامه‌ی اصلی است.»

موزیلا و گوگل نیز در مرورگرهای فایرفاکس و کروم از اوایل سال جاری، پشتیبانی از SHA-۱ را کنار گذاشته‌اند. هدف نهایی در خصوص این موضوع این است که بتوانیم استفاده از الگوریتم درهم‌سازی SHA-۱ را در تمامی اینترنت از بین ببریم.

منبع خبر : وب گاه اخبار امنیتی فناوری اطلاعات و ارتباطات


٢٠:٥٢ - 1396/02/23    /    شماره : ١٢٨٧٨    /    تعداد نمایش : ٧٠٤٣



خروج