Il divieto di Firefox su SHA-1 è caduto dopo che molti hanno bloccato l'accesso ai siti HTTPS

Mozilla ha temporaneamente ripristinato il supporto per un algoritmo crittografico vulnerabile dopo che alcuni utenti di Firefox non sono stati in grado di accedere a siti Web HTTPS crittografati.

Il produttore del browser ha attribuito la conseguenza involontaria della deprecazione del supporto per i certificati SHA-1 sui dispositivi man-in-the-middle, come scanner di sicurezza e prodotti antivirus.

In un post sul blog, l'ingegnere della sicurezza Richard Barnes ha spiegato che la maggior parte degli utenti di Firefox non sono interessati e coloro che lo sono possono semplicemente aggiornare all'ultima versione di Firefox --

versione 43.0.4, pubblicato mercoledì, per risolvere il problema.

"Quando un utente tenta di connettersi a un sito HTTPS, il dispositivo man-in-the-middle invia a Firefox un nuovo certificato SHA-1 invece del vero certificato del server", ha spiegato Barnes.

"Poiché Firefox rifiuta i nuovi certificati SHA-1, non può connettersi al server", ha aggiunto.

La buona notizia è che puoi capire se sei influenzato dalla visita Il blog sulla sicurezza di Mozilla. Se lo sei, puoi eseguire l'aggiornamento da il suo sito web.

La cattiva notizia è che questo non era esattamente inaspettato.

Il milione mancato di Mozilla

Da mesi si sapeva che i certificati SHA-1 avrebbero effettivamente iniziato ad illuminarsi con avvisi a partire dal 1° gennaio. Questo perché SHA-1 è sul punto di essere violato, rendendo l'algoritmo inutile. La maggior parte dei siti Web è già stata aggiornata per utilizzare i certificati SHA-2 più recenti. Ma una parte piccola ma considerevole degli utenti di Internet non disponi ancora di browser o dispositivi compatibili con SHA-2, un algoritmo più recente che durerà per molti anni a venire.

Nella nostra storia di qualche mese fa, gli esperti del settore avvertivano che molti milioni di utenti sarebbero stati cacciati dal web crittografato, perché molti produttori di browser non supporterebbero più lo standard dal nuovo anno.

Alex Stamos, capo della sicurezza di Facebook ha detto in un post sul blog di dicembre che mentre il social network supporta la deprecazione dei certificati SHA-1, l'azienda no "Penso che sia giusto escludere decine di milioni di persone dai benefici della crittografia Internet."

L'amministratore delegato di CloudFlare Matthew Prince, il quale ha affermato che la mossa "lascerebbe un'intera fetta di Internet nel passato", ha affermato ben 37 milioni di utenti si troverebbero ad affrontare problemi, e la Cina sarebbe la più colpita.

Questa non è la prima volta che Mozilla, un produttore di browser che da tempo aveva avvertito che avrebbe abbandonato il supporto per SHA-1, si trova ad affrontare problemi prima della sua deprecazione.

Nel 2014, la società ha aggiornato il proprio sito Web con un nuovo certificato con hash SHA2. In questo modo, molte persone che volevano scaricare Firefox per la prima volta sono state tagliate fuori. ha detto Chris More di Mozilla un elenco di bug nel momento in cui l'aggiornamento "ha ucciso un milione di download" in seguito all'aggiornamento del sito web.

"Gran parte del mondo utilizza ancora vecchi browser e visita il nostro sito Web per ottenere Firefox", ha aggiunto.

Tirare peso

Nonostante le sfide, Mozilla ha affermato che continuerà a impegnarsi a bandire il supporto per SHA-1 su tutta la linea.

Ma, per garantire che le persone non vengano tagliate fuori dal web, ognuno deve fare la propria parte, ha detto Barnes. Ha aggiunto che i fornitori man-in-the-middle, comprese le aziende di software, "dovrebbero lavorare per aggiornare i loro prodotti per utilizzare algoritmi digest più recenti".

In ogni caso, molti dispositivi hardware e prodotti antivirus hanno già rimosso i certificati SHA-1 e richiedono l'aggiornamento da parte dell'utente.

Mozilla non ha detto esattamente quando rinuncerà al supporto, ma Barnes ha suggerito che Il supporto SHA-1 potrebbe essere interrotto nelle prossime settimane o mesi, in Firefox 45 o 46.