Забраната на Firefox за SHA-1 отпадна след блокиране на много HTTPS сайтове

Mozilla временно възстанови поддръжката за уязвим криптографски алгоритъм, след като някои потребители на Firefox не можаха да получат достъп до криптирани HTTPS уебсайтове.

Производителят на браузъра обвини нежеланото последствие от отмяната на поддръжката за SHA-1 сертификати на устройства тип човек по средата, като скенери за сигурност и антивирусни продукти.

в публикация в блог, инженерът по сигурността Ричард Барнс обясни, че повечето потребители на Firefox не са засегнати, а тези, които са, могат просто да надстроят до най-новата версия на Firefox -- версия 43.0.4, пуснат в сряда -- за отстраняване на проблема.

„Когато потребител се опита да се свърже с HTTPS сайт, устройството „човек по средата“ изпраща на Firefox нов SHA-1 сертификат вместо истинския сертификат на сървъра“, обясни Барнс.

„Тъй като Firefox отхвърля нови SHA-1 сертификати, той не може да се свърже със сървъра“, добави той.

Добрата новина е, че можете да разберете дали сте засегнати от посещението Блогът за сигурност на Mozilla. Ако сте, можете да надстроите от неговия уебсайт.

Лошата новина е, че това не беше съвсем неочаквано.

Пропуснатият милион на Mozilla

От месеци се знае, че сертификатите SHA-1 ефективно ще започнат да светят с предупреждения от 1 януари. Това е така, защото SHA-1 е на ръба да бъде кракнат, което прави алгоритъма безполезен. Повечето уебсайтове вече са актуализирани, за да използват по-новите SHA-2 сертификати. Но малка, но значителна част от потребителите на интернет все още нямате браузъри или устройства, които са съвместими с SHA-2, по-нов алгоритъм, който ще продължи много години напред.

В нашата история преди няколко месеца експерти от индустрията предупредиха, че много милиони потребители ще бъдат заредени от шифрованата мрежа, тъй като много производители на браузъри вече не биха поддържали стандарта от новия година.

Главният служител по сигурността на Facebook Алекс Стамос каза в публикация в блог през декември че докато социалната мрежа поддържа отмяната на SHA-1 сертификатите, компанията не го прави „Мисля, че е правилно да лишим десетки милиони хора от предимствата на криптираното Интернет."

Главният изпълнителен директор на CloudFlare Матю Принс, който каза, че този ход ще „остави цяла част от интернет в миналото“, каза цели 37 милиона потребители ще има проблеми, като Китай е най-засегнат.

Това не е първият път, когато Mozilla, производител на браузъри, който отдавна предупреждава, че ще спре поддръжката на SHA-1, се сблъсква с проблеми преди оттеглянето му.

През 2014 г. компанията актуализира уебсайта си с нов SHA2 хеширан сертификат. Правейки това, той прекъсна много хора, които искаха да изтеглят Firefox за първи път. Крис Мор от Mozilla каза в списък с грешки по времето, когато надстройката „уби един милион изтегляния“ след надстройката на уебсайта.

„Голяма част от света все още използва стари браузъри и посетете нашия уебсайт, за да получите Firefox“, добави той.

Теглене на тежест

Въпреки предизвикателствата, Mozilla заяви, че остава ангажирана с премахването на поддръжката за SHA-1 в бъдеще.

Но за да сме сигурни, че хората няма да бъдат откъснати от мрежата, всеки трябва да издържи тежестта си, каза Барнс. Той добави, че доставчиците на "човек по средата", включително софтуерните фирми, "трябва да работят за актуализиране на своите продукти, за да използват по-нови алгоритми за дайджест."

Във всеки случай, много хардуерни устройства и антивирусни продукти вече са премахнали SHA-1 сертификати и изискват от потребителя да актуализира.

Mozilla не каза кога точно ще спре отново поддръжката, но Barnes предложи това Поддръжката на SHA-1 може да отпадне през следващите седмици или месеци във Firefox 45 или 46.