Prindi

Veebibrauser Google Chrome lõpetab SHA-1 räsialgoritmiga sertifikaatide toe

20.02.2015

Praegu veel laialt kasutusel oleva SHA-1 räsialgoritmi turvalisus on viimastel aastatel nõrgenenud. 

Seetõttu on alates 2014. aasta lõpust Google Chrome hakanud oma veebibrauseris kuvama hoiatusi paljudel veebilehtedel, mis kasutavad SHA-1 räsialgoritmiga signeeritud SSL-sertifikaate. Google Chrome’i veebibrauser kontrollib SSL-sertifikaadi kehtivusaega ja seda, kas SSL-sertifikaadis või selle väljastanud vahesertifikaadis on kasutusel räsialgoritm SHA-1. Uus hoiatuste süsteem on kasutusel alates Google Chrome'i versioonist 39 ja tootja on lubanud, et igas järgmises versioonis muutuvad hoiatused rangemaks. Juursertifikaatides kasutatav räsialgoritm ei mõjuta hoiatusi, kuna juursertifikaadi allkirja räsi ei kontrollita.

Google Chrome hakkab originaalartiklis viidatud aegadel ja põhjustel kuvama teie veebiserveri turvalisuse kohta erinevaid hoiatusi. 

Alates 2014. aasta keskpaigast väljastab SK uusi SSL-sertifikaate SHA-256 räsialgoritmiga. Hetkel on vahesertifikaat KLASS3-SK 2010, mis SSL-sertifikaate väljastab, veel SHA-1 räsialgoritmiga. Lähiajal on ka plaan vahesertifikaat välja vahetada SHA-256 räsialgoritmiga sertifikaadi vastu, et kohaneda Google Chrome’i nõuetega. Täpne ajakava veel paigas ei ole, kuid avaldame uut informatsiooni jooksvalt.

Kui soovite enda olemasoleva SSL-sertifikaadi välja vahetada lühema kehtivusajaga sertifikaadi vastu, et Google Chrome ei kuvaks teie veebilehte avades hoiatust, pöörduge palun SK klienditoe poole. Vahetame teile väljastatud sertifikaadi ajutiselt lühema sertifikaadi vastu välja ja hiljem, kui oleme Google Chrome’i poolt esitatud nõuded täies mahus täitnud, teavitame teid ja väljastame teile taas pikema kehtivusajaga uue sertifikaadi tasuta. Täiesti uue sertifikaadi tellimisel soovitame teil valida sertifikaadi pikkuseks kuni 1 aasta, et vältida teie veebilehte Google Chrome’iga avades neid turvahoiatusi.

Lisaks annab Google Chrome’i veebibrauser SSL-sertifikaadi kohta veel kahte sorti lisainfot.

      1. “Selle veebisaidi identiteedi kinnitas KLASS3-SK 2010, kuid sellel pole avalikke auditikirjeid.”

See teade käib Google Certificate Transparency (CT) kohta, mis on uus Google’i välja töötatud kontrollimehhanism. Tänasel päeval on CT kohustuslik Extended Validation Certificate (EV) ehk roheliste SSL-sertifikaatide väljastajatele. Tavaliste SSL-sertifikaatide väljastajatele ei ole see kontroll veel kohustuslik, seega kuvatakse see teade paljude sertifitseerimisteenuse osutajate sertifikaatide kohta. Kui CT muutub kohustuslikuks kõigile SSL-sertifikaadi pakkujatele, liitub ka Sertifitseerimiskeskus (SK) selle programmiga.

      2. Sait kasutab aegunud turvaseadeid, mis võivad takistada Chrome’i tulevastel versioonidel sellele turvalist juurdepääsu.”

See teade käib SHA-1 räsialgoritmi kasutamise kohta lõppsertifikaadis või vahesertifikaadis, mis selle sertifikaadi väljastas ning mida Google Chrome’i veebibrauser peab verifitseerima. 

Lähitulevikus hakkavad tõenäoliselt teised veebibrauserid sarnaseid hoiatusi SHA-1 kohta väljastama. Microsoft andis juba 2013. aasta lõpus teada, et alates 01.01.2017 ei toeta Windowsi operatsioonisüsteem sertifikaatides SHA-1 räsialgoritmi.

Siin on võimalik kontrollida, kas veebiserveris kasutusel olev SSL-sertifikaat kuvatakse Google Chrome’is hoiatusega ja millises versioonis hoiatuse sisu muutub.
 
Kui teil tekib küsimusi SK väljastatud sertifikaatide või selle kohta, kui pika kehtivusajaga sertifikaati täpselt tellida, saab lisainfot SK klienditoelt e-posti aadressil support[A]sk.ee või telefonil 610 1880.