ENGLISH 4006-WOSIGN
首页>安全资讯>部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划

部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划

因部分使用SHA-1新证书的HTTPS站点无法访问,Mozilla将暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。

Mozilla暂停SHA-1弃用计划

为什么暂时恢复支持SHA-1

根据Mozilla之前公布的SHA-1弃用计划,2016年1月1日起,Firefox 43开始拒绝新颁发的SHA-1证书,虽然这项计划对大部分火狐用户没有影响,但是由于不少设备与平台未能及时跟进,仍有部分用户受此影响,无法访问使用SHA-1新证书的HTTPS网站,尤其是一些中间人设备,如安全扫描和杀毒软件等。

"当用户尝试连接一个HTTPS站点时,中间人设备会给Firefox发送一个新的SHA-1证书,而不是来自服务器的真实证书。由于Firefox拒绝新的SHA-1证书,它就无法连接到服务器了。"Mozilla安全博客解释道。

用户可以通过Firefox"高级"选项可以查看目前的版本是否受到影响,如果看到错误代码SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED,可以通过安装Firefox的最新版本解决该问题。

坚持弃用SHA-1

Mozilla仍然坚持致力于取消Firefox对SHA-1证书的支持。暂时恢复支持SHA-1证书,只是为了确保能为中间人设备的用户提供更新,能够更好的评估有多少用户受此影响。

Mozilla没有说什么时候会再次弃用SHA-1,安全工程师理查德·巴恩斯认为可能会在Firefox45或46版本再次放弃对SHA-1的支持。

SHA-1过渡期的烦恼

CloudFlare的首席执行官马修表示,将有3亿用户将面临该问题的影响,其中中国的情况最为严重。

沃通CA作为国际CA浏览器论坛中首个中国成员单位,早在主办2014年国际CA浏览器论坛北京秋季工作会议时,就曾代表中国用户提出建议,希望各国际浏览器厂商充分考虑中国国情,提出针对性的应对方案,但考虑到全球互联网的整体安全,停止使用SHA-1算法也只是时间问题。

参考来源:Mozilla安全博客ZDnet 沃通原创文章,转载请附本文链接http://www.wosign.com/News/2016-0111-01.htm