Microsoft наскоро обяви плановете си да изостави поддръжката на TLS сертификати, подписани от алгоритъма на хеширане SHA -1 от февруари 2017 г. Microsoft допълнително призна, че много уебсайтове, потребители и приложения на трети страни ще бъдат сериозно засегнати, след като компанията извинява SHA-1 подписани сертификати.

От 14 февруари 2017 г. Microsoft Edge и Internet Explorer 11 ще предотвратят зареждането на сайтове, които са защитени със сертификат SHA-1, и ще покажат невалидно предупреждение за сертификат. Въпреки че силно го обезкуражаваме, потребителите ще имат възможността да игнорират грешката и да продължат към уебсайта, каза Microsoft в.

Разкритието не е точно новина: компанията загатна още през ноември.

Алгоритъмът за хеширане на SHA-1, използван за интернет сигурност във връзка с HTTPS протокола и сертификатите, използвани за защита на уеб сайтове, е обявен за опасен и уязвим за атаки от добре финансирани противници от 2005 г., но до голяма степен се използваше преди SHA -2 и SHA-3 алгоритми, които бяха тествани като по-сигурни алтернативи за хеширане на функционалности. Инициативата не е нова и функцията по-рано беше денонсирана и отхвърлена от Google и Mozilla, тъй като е по-предразположена към криптографски сблъсъци от очакваното.

Microsoft уточни, че техните браузъри, Edge и Internet Explorer, вече ще попречат на сайтовете, използващи сертификати, подписани от SHA-1, да се зареждат и ще покажат предупреждение за „невалиден сертификат“, за да възстановят сигурността обратно в услугите. Въпреки че потребителите няма да бъдат принудени да пропускат сайтовете, те ще имат възможността да заобиколят заплахата и да получат достъп до потенциално уязвимия уебсайт въпреки предупреждението, само без иконата на доверие „заключване на лентата“, която потребителите виждат в адресната лента на своите браузъри,

Тези приложения на Windows, работещи с криптографския API на Windows SHA-1 или предишни версии на Internet Explorer, няма да бъдат засегнати от тези промени.