少し前、Microsoftは、SHA-1ハッシュアルゴリズムを使用するTLSおよびSSL証明書のサポートが間もなく完了することを発表しました。 その前に、Mozillaのリーダーシップは同様の声明を発表しました。 現在、Googleは同じことを行うことを決定し 、2017年1月1日までSHA-1のサポートを停止しています。
問題は、近い将来、このようなハッシュアルゴリズムの衝突マッチングに問題がなくなることです。 コンピューティングテクノロジーはより強力になり、クラウドサービスは開発されており、そのような操作は攻撃者にとってそれほど高価ではなくなります。 現在、Googleはすでに証明書を使用したサイトを安全でないものとしてマークし始めています。
2012年に表明された専門家によると、攻撃者は2018年には早くも関連する証明書を偽造できるようになります。 これが以前に起こらないという保証はありません。 したがって、大規模な電気通信会社は賢明に行動することを決めました-問題になる前に問題を取り除いてください。
そして、時間通りに-新しい研究は、証明書を偽造するコストが現在大幅に削減されることを示しています。 Amazon EC2などのクラウドサービスを使用すると、詐欺師は比較的少ないお金で偽のSHA-1証明書を作成できます。 2017年には、これはすでに本当の脅威になります。 そのため、ほとんどの企業は2017年1月1日までにこのような証明書のサポートを廃止する予定です。
また、これら3社はすべて、来年1月または2月にRC4暗号化アルゴリズムのサポートを停止します。
2016年1月、Chromeの新しいバージョン(Chrome 48)では、発表に示されているように、SHA-1証明書を持つサイトでエラーが表示されます。