Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

Прошло около двух лет с того момента, как Google, Microsoft и Firefox приняли решение начать отказ от использования сертификатов TLS/SSL, подписанных с помощью алгоритма SHA-1. Теперь к ним присоединится и компания Apple.

С релизом iOS 13 и macOS 10.15 Catalina, которые были представлены на этой неделе в рамках WWDC 2019, Apple перестанет поддерживать HTTPS-соединения (в Safari или других приложениях), использующие сертификаты TLS, подписанные при помощи алгоритма SHA-1. Соответственно, разработчики рекомендуют переходить на использование алгоритма SHA-2.

В сущности, Apple стала последним из крупных производителей, отказавшихся от SHA-1. Напомню, что Google отказалась от поддержки таких сертификатов с релизом Chrome 56, в январе 2017 года; браузер Firefox получил аналогичное обновление в том же месяце, с релизом версии Firefox 51; а Microsoft прекратила поддержку SHA-1 в Edge и Internet Explorer в середине 2017 года.

Отказ от SHA-1 начался после того, как ИБ-специалисты продемонстрировали, что алгоритм уязвим и реализовали первую коллизионную атаку на него. И хотя в настоящее время создание таких коллизий – это по-прежнему крайне дорогая операция, исследователи прогнозируют, что с годами стоимость атаки на SHA-1 будет быстро снижаться, а значит, алгоритм нельзя считать надежным и безопасным.

Теги: CSS, SHA-1 релизом SHA-1. алгоритма Firefox