Proponha uma correção, faça uma sugestão
Utilizadores do Chrome não vão poder aceder alguns sites seguros
A Google procura implementar nos seus produtos os mais completos e actuais mecanismos de segurança, que garantem aos utilizadores a máxima protecção.
Com a chegada da versão 48 do Chrome, que se espera para Janeiro, vai surgir um novo problema no acesso a sites seguros, com certificados SHA-1. O Chrome vai passar a alertar os utilizadores e bloquear o acesso!
Com a descoberta de falhas de segurança grave na função hash criptográfica SHA-1, surgiu a necessidade de alterar por completo os mecanismos de cifra e segurança na internet.
Como este é um processo que demorará alguns anos, mesmo tendo sido iniciado em 2013, foi estabelecida a data de 1 de Janeiro de 2017 para suporte a estes certificados.
Mas a Google resolveu alterar de forma completa este suporte e anunciou agora que vai deixar de suportar o SHA-1 já a partir de Janeiro de 2016, mediante algumas condições.
Nessa altura o Chrome passará a apresentar alertas de segurança sempre que o certificado for assinado por uma chave SHA-1, tiver sido emitido depois do dia 1 de Janeiro de 2016 e estiver ligado a uma CA pública. Todos os certificados auto-assinados não vão disparar estes alertas de segurança.
Ao tomar esta decisão a Google poderá estar a privar muitos dos utilizadores do Chrome de acederem a sites seguros, encaminhando-os para alertas de problemas de segurança. Como a maioria não entenderá a razão do erro acabará por não aceder ao site.
Há algum tempo que o Chrome está a mostrar aos utilizadores alertas de segurança relacionados com certificados SHA-1, mas apenas na barra de endereço. Esta mudança agora aplicada terá um impacto maior, alertando os utilizadores de forma mais visível.
Para o início de 2017, a Google tem preparado o fim do suporte completo ao SHA-1, ficando nessa altura visível um erro de rede que os utilizadores não vão conseguir contornar.
O problema do SHA-1 vai trazer complicações graves aos browsers mais antigos, que não têm suporte para a versão seguinte, a SHA-2, e que por isso vão ficar impedidos de aceder à maioria dos sites.
Por outro lado a pressão para a actualização dos certificados é grande e isso criará uma falha no suporte para esses mesmos browsers que só têm suporte para a versão 1.
Este artigo tem mais de um ano
Loading ...
Quer dizer que sites de bancos, sites de browsers, anti virus etc não vamos conseguir acessar ás contas .
Claro que vais, qualquer empresa grande que se preze já efectuou alteração das cifras nos seus sites.
Podem utilizar este site https://shachecker.com/ para validarem se o vosso certificado é SHA-1 ou não.
lol precisa de ter www como subdomínio….
O Google Chrome é que manda e sabe o que é melhor para ti.
É preocupante a lentidão na mudança, pois significa que se acontecer algo de muito grave, imaginemos agora com o SHA-256, sabe-se lá quantos anos demorará a que toda a gente tenha os novos algoritmos que protegem as comunicações de então.
Também é preocupante que muitos estejam a optar por permitir o acesso com certificados usando SHA1 tentando adivinhar se o browser suporta ou não, o que dará sem dúvida espaço a ataques para reduzir o nível de segurança de quem acede a esses servidores, tais ataques tem acontecido por exemplo para reduzir a segurança de protocolos de por exemplo TLS 1.0 para SSL3.0 ou de TLS 1.2 para TLS 1.0… é a conveniência versus segurança… quase sempre vence a conveniência a menos que as leis obriguem à segurança sem possibilidade de ser contornada.
Finalmente!
..Não? Eles estão a bloquear sites que NÃO são seguros. Mas que raio de titulo é este?
sites que são seguros mas que usam SHA-1
Não percebendo muito do assunto, é isto que deduzo do artigo:
SHA-1 não é seguro.
Logo, sites que usam SHA-1 não são seguros.
Onde falha a lógica?
SHA-1 ainda é seguro. A colisão foi parcial e apenas foi tomada a decisão de antecipar a data inicial de fim de suporte de SHA-1.
Abc
A lógica é que como ainda ninguém conseguiu falsificar certificados que usem o algoritmo SHA1 em público, ou seja: gabar-se de tal… apesar de haver imensas pessoas especializadas na área da criptografia a dizer à bastante tempo (anos) que é altura de utilizar algo mais sofisticado, enquanto ninguém em público demonstrar como é fácil falsificar, é como se estivesse tudo bem… é um pouco “está tudo bem até que me provem que está tudo mal”… e quando estiver tudo mal vai se a correr reparar… mas algo me diz que provavelmente a Google tem capacidade para falsificar ou acha que é possível, e querem acabar com essa vulnerabilidade o quanto antes… se não esperavam mais um ano e seguiam o exemplo da Microsoft.
SHA-1 é considerado inseguro à já quase um ano
Exatamente, já à algum tempo que SHA-1 é considerado um método inseguro
Mais depressa abro o Firefox do que o admin do site muda o certificado.
Na verdade TODOS os principais browsers, Chrome, Firefox e Microsoft Edge (provavelmente o Internet Explorer também) vão fazer isso.
Aliás, quem propôs antecipar a data de 1 de janeiro de 2017 para 1 de junho de 2016 foi a Microsoft: https://cabforum.org/pipermail/public/2015-October/006121.html
Mas não deixa de ser interessate que seja a Google a ficar com os louros.
Vai acontecer o mesmo que está a acontecer actualmente com o Java.
O Chrome não dá? usa-se o Firefox, também deixou de dar? Opera.