サイトがSHA-2暗号化に移行すると、何百万もの人々がHTTPSのロックアウトに直面する

2016年には、世界中の何千万人もの人々が、Facebook、Google、Gmail、Twitter、Microsoftのサイトなどの最も一般的な暗号化されたウェブサイトにアクセスする際に問題に直面します。

危険な暗号を実行している100万のWebサイト

CIAが暗号化バックドアを望んでいるのは、知性ではなくリーダーシップに欠けている理由です。データへのバックドアアクセスを拒否するAppleは罰金に遭うかもしれませんが、NSAはデータで圧倒されてしまい、効果がなくなっています。議会で「恐怖とパニック」、マイクロソフトのデータケースが米国のハイテク産業を解明する方法、「隠すものは何もない」場合はここでパスワードを送信する場所、データをNSAに提供する影のあるテクニカルブローカーに会う

どうして?彼らのブラウザまたはデバイスは、新しいより安全な証明書を読むことができないからです。

SHA1は、10年にわたりWebのセキュリティの中心にあった暗号化ハッシングアルゴリズムで、1年余りで廃止される予定です。何人かは、年末までにクラックする可能性があり、何百万人ものユーザーのセキュリティを弱めて弱体化させると主張しています。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

認証局は、2016年1月1日の深夜にSHA1証明書を発行しなくなり、代わりにSHA2証明書を選択すると回答しました。 SHA2は、これからも長続きするはるかに強力なアルゴリズムです。しかし、問題があります。インターネットのユーザーの中には、かなり小さいながらも、SHA2と互換性のあるブラウザやデバイスはありません。

今月、ニューヨークのニューズ・ニュースルームで会話中に、CloudFlareのチーフ・エグゼクティブ、マシュー・プリンス氏は、「過去にインターネット全体を残している」と語った。

オンラインバンキング、電子メールアカウント、ソーシャルネットワークを保護するだけでは暗号化は重要ではありません。ブラウザの緑色の点灯バーや南京錠はサイトの完全性を確認し、ページが改変されていないことを強く保証します。

現在、サイトの実装にはほとんど費用がかからないため、暗号化を採用しているサイトが増えています。

毎日のデータ侵害、ハッキング、大量監視の時代に、強力なSHA2アルゴリズムの採用がこれまで以上に重要になりました。しかし、ブラウザメーカーやウェブサイトの所有者も同様に時間がかかると考えていました。

著名なセキュリティ研究者は、SHA1が2018年頃まで続くと考えていましたが、今では2015年末までにSHA1アルゴリズムが壊れる可能性があると考えています。

良いニュースは、ほとんどのウェブサイトが既により強力なSHA2証明書を使用しているということです。 SSLで暗号化されたWebサイトの約24%がSHA1を使用しています。

その数字は毎月減少しているので、年末にはすべてのウェブサイトの10%も低くなり、暗号化されたWebサイトの大部分がSHA1の衝突攻撃から安全になることを意味します。

ほとんどの人にとって、心配することはありません。最新のChromeまたはFirefoxブラウザ、最新のオペレーティングシステム、または最新のソフトウェアを搭載した最新のスマートフォンは、古いSHA1でハッシュされたWebサイトや新しいSHA2でハッシュされたWebサイトと互換性があります。

しかし、携帯電話の基本的なインターネットを持つキャンディーバー携帯電話は、古いソフトウェア、デバイス、さらにはダンボームを扱っている開発途上国の人々は、そのデバイスが最新のものではないので、 SHA2が何であるかを知るのに十分な日付。

どのくらい多くの人が古いブラウザやサポートされていないブラウザやデバイスを実行しているかについての具体的な数字がないため、影響を受けるまで何人が影響を受けるかを正確に伝える方法はありません。

かつて完全に安全なウェブの中に立っていた障壁はもう存在しません。

QualysのSSL LabのヘッドであるIvan Ristic氏は、Windows XP SP2以前とAndroid 2.2以前のユーザーはSHA2証明書をサポートしていないことを電子メールで伝えている。

参照する安定したまたは安定した数字はありません。利用可能なものから、サポートされていないシステムの使用率は世界的に低くなっていますが、中国、アフリカ、インド、およびベトナムのような他の発展途上国では数千万のユーザー数を占めています。マイクロソフトの利用シェアサイトが信じられていても、世界の1%がサポートされていないブラウザを使用しているとすれば、SHA2ハッシュされた暗号化されたサイトからロックされている顔面は7000万もあります。

「多くのサイトがSHA2移行の75%を占めていることを考えると、古いブラウザを使用しているユーザーは2016年中に頻繁に発生する問題が発生する可能性が高い」とRistic氏は述べている。

Mozillaは昨年、難しい方法を見つけました。昨年、ブラウザメーカーは新しいSHA2ハッシュ化SSL証明書でウェブサイトを更新した。しかし、SHA2をサポートしていないブラウザーやオペレーティングシステムを実行していたユーザーは、Webサイトにアクセスできませんでした。

Mozillaの「100万ダウンロード」ミス

MozillaのChris More氏は当時のバグリストで「アップグレードは100万ダウンロードを殺した」と述べている。 「世界中の多くの人々が古いブラウザを使用していて、私たちのウェブサイトにアクセスしてFirefoxを入手しています。

それが最後に起こることはありません。

SHA1は2016年から利用できなくなり、ウェブサイトの所有者とアプリメーカーはSHA2にアップグレードするために1年を使います。

1年後、2017年から、古いSHA1証明書に遭遇したChromeブラウザとFirefoxブラウザでは、接続が信頼できないことをユーザーに知らせるセキュリティ警告が表示されます。 Firefoxのように、2016年に警告が表示されることがあります。

Mozillaは、SHA1への攻撃が成功すれば、2016年7月に日付を戻すかもしれないと語った。

ウェブサイトの暗号化は、セキュリティがより重要な問題になるにつれて、よりユビキタスになりつつあります。しかし、新しいブラウザにアップグレードするのと同じくらい簡単なことではありません。多くの場合、電話やコンピュータなどのハードウェアをアップグレードする必要があります。これは、多くの人が貿易制限のために買うことができないか入手できないものです。

「誰もが最新のセキュリティにアップグレードしようとしているが、それは良いことだが、そのためには過去をサポートする必要がある」とプリンス氏は語った。

潜在的にSHA1がクラックされ、サイトとサービスが偽装される可能性があるのはわずか数日ないしは数週間で、何年も前より優れた暗号化にアップグレードする必要はありませんでした。

プリンス氏は、業界が「最高の最高のセキュリティを求めたが、その過程ですべてを破った」と述べた。

それはバックファインディングの最善の目的だ」と彼は言った。そして、それは私のことを恐れる。

HTTPS

信頼できない接続

続きを読む

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています