file7121266529116

SHA1 para SHA2

614682_90998327

SHA1 OU SHA2

Na maior parte da web segura, é usada um algorítimo que a cada ano assegura menos.

Algo como 90% dos sites que usam a cifragem SSL – Utilizam um algorítimo chamado SHA-1 para se proteger de intrusos. Isso garante que quando você vai para facebook.com com o certificado “cadeado verde”, Você está visitando o verdadeiro Facebook e não dando a senha para um terceiro.

Infelizmente, o SHA-1 tem sido um longo tempo perigosamente fraco. Ele fica mais fraco a cada ano, mas continua a ser o mais utilizado na internet. O seu substituto, o SHA-2 é forte e suportado em quase todos os lugares (navegadores).

Google anunciou recentemente que, se você usar o Chrome, você começará a ver vários avisos em muitos sites seguros.

O primeiros avisos chegarão antes do Natal.

Eventualmente, até mesmo sites com certificados em SHA-1 e expiram em 2016 será dado avisos amarelos. (Chrome)

O Google está declarando uma emergência em câmera lenta, e apressando as pessoas a atualizar seus sites antes que as coisas piorem.

O que é SHA? (Secure Hash Algorithm)

Para entender por que a substituição do SHA1 para SHA2 é tão importante, você tem que se colocar no lugar de um navegador.

Quando você aparece para um site usando HTTPS, O site apresenta um arquivo – um “certificado” SSL – para o seu navegador. Este certificado é usado para fazer duas coisas: cifrar sua conexão com o site e se você conectou ao site real.

Qualquer certificado pode ser usado para cifrar sua conexão. Mas, para verificar se você está no verdadeiro Facebook, o navegador tem que ter uma maneira de decidir se confia no certificado e mostrar o cadeado verde.

Seu navegador faz isso por descobrir se o arquivo do certificado do site foi emitido por uma “Autoridade Certificadora” (AC). Seu navegador possui mais de 50 entidades certificadas para criar e garantir para os certificados e centenas de AC`s intermediárias a quem essas 50 delegam confiança. Como você pode ver este é um sistema muito falho, mas é o que temos no momento.

Uma prova crucial do navegador, é quando o certificado SSL de um site é emitido por uma AC particular: pode o certificado provar isso?

Quando possível, a internet revela coisas através de matemática. Quando é emitido um certificado, a AC inclui esta prova por cifragem “assinando” o certificado usando uma chave privada, de uma forma única, apenas a verdadeira AC e os navegadores poderiam verificar.

Mas a AC na verdade não assina apenas o certificado bruto: primeiro condensa o certificado para uma linha única, executando-o através de um algorítimo de hash de “sentido único”, como MD5, SHA-1 ou SHA-256.

12

Assim como é exibido em um navegador o algorítimo (imagem acima), também podemos utilizar um hash de sentido único para o arquivo de texto no exemplo abaixo:

22

Esses algorítimos de hash como o SHA-1 são projetados para produzir essas combinações/linhas únicas, irreversíveis. Você não será capaz de interpretar f335fc8f86ddf0ef551c92fbaa08f6a53c79d87b e tentar do e ter o texto senhaforte.txt. Tão importante quanto isso, nenhum outro arquivo deve produzir essa mesma combinação – mesmo mudando uma letra o resultado não terá nenhuma relação com conteúdo

Quando o seu navegador vê um certificado, ele pode calcular o SHA-1 para a própria informação que é certificado e depois compará-lo com o SHA-1 assinado como prova. Porque SHA-1 promete linhas únicas, o navegador confia que, se eles corresponderem, o certificado oferecido é o mesmo que a AC assinou.

Oque os navegadores estão fazendo?

A Microsoft foi a primeira a anunciar um plano de restrição para SHA-1 , onde o Windows e o Internet Explorer não irá confiar em certificados emitidos com o hash SHA-1 certificados depois de 2016. Mozilla decidiu a mesma coisa . Nem a Microsoft nem Mozilla indicaram que planejam mudar sua interface de usuário no interino de sugerir ao usuário que há um problema.

Google, recentemente lançou uma verdadeira bomba por anunciar que o Chrome irá mostrar avisos para o usuário imediatamente, porque SHA-1 é muito fraco.

Este é uma iniciativa corajosa do Google, pois representa um risco substancial. Uma das principais razões por que tem sido tão difícil para os navegadores para se afastar de algorítimos de assinatura é que, quando os navegadores dizem que a um usuário que um site importante está quebrado, o usuário acredita que o navegador está quebrado e começa a trocar de navegadores. Google parece estar apostando que o Chrome é confiável o suficiente para a sua segurança e seus usuários podem resistir o primeiro aviso

Opera também tem apoiado o plano do Google . A equipe do Safari observa atentamente a evolução e não anunciou nada ainda.

O que você pode fazer?

Para ajudar na transição, apresentamos nosso site www.verificassl.com.br nele você verifica se está usando SHA-1 e precisa ser atualizado e um link para aquisição de novos certificados.

A solicitação de um novo certificado geralmente é muito simples. Você precisa gerar uma nova solicitação de certificado que a sua AC pede para usar SHA-2, usando a flag -sha256

openssl req -new -sha256 -key suachaveprivada.key -out seudominio.csr

Talvez precise atualizar os certificados intermediários que sejam SHA-1, pois eles também são verificados usando uma assinatura digital. Isso significa rastrear se ver onde a sua AC publicou suas SHA-2 intermediários.

Certamente a AC irá auxiliar nesse processo. Lembrando que se trata apenas de uma atualização para evitar problemas futuros!

Compartilhe!