Обновление Firefox 43.0.4 с отменой блокировки SHA-1
7 января 2016 года
Доступен корректирующий выпуск Firefox 43.0.4, в котором отменена блокировка сертификатов, выписанных после 1 января 2016 года и подписанных с использованием хэша SHA-1. Кроме того, в новой версии устранены две ошибки: крах при запуске на системах с антивирусным ПО и некорректное создание временных директорий при загрузке файлов, приводящее к проблемам в Linux-системах с несколькими активными пользователями Firefox.
Причиной отмены блокировки стали непредвиденные массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов. В качестве подобных прокси выступают не только навязанное пользователю spyware и adware, но и некоторые антивирусные программы. Любые запросы к защищённым сайтам на таких системах стали приводить к выводу ошибки и полной невозможности открытия сайтов по HTTPS. Сообщается, что Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её в одном из ближайших выпусков. В свежих обновлениях популярных антивирусных программ уже прекращено использование SHA-1, а пользователи устаревших систем смогут отключить блокировку SHA-1 в about:config (security.pki.sha1_enforcement_level=0).
Напомним, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 удостоверяющими центрами. Они предлагают разрешить выдавать сертификаты с SHA-1, но только в том случае, если организации уже выдан сертификат на базе SHA256 и по умолчанию задействован для современных браузеров с его поддержкой. Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256. Для таких пользователей предлагается предусмотреть возможность продолжения использования сертификатов с SHA-1.
Что касается безопасности, то новые методы подбора позволяют выявить коллизию для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов. При этом речь ведётся о случайной коллизии, чего недостаточно для подделки сертификата c рандомизированным серийным номером. Для создания поддельного сертификата коллизия должна охватывать корректный серийный номер, что существенно усложняет трудоёмкость атаки и при текущем развитии технологий делает её внедрение для организации массовой слежки маловероятной.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
