@lsmn
2015-12-31T06:43:43.000000Z
字数 842
阅读 2888
安全
SHA
Facebook
Twitter
CloudFlare
停用SHA-1的困难之处在于尚未升级的用户的访问需求。针对使用那些遗留设备的用户,Facebook、Twitter和CloudFlare已经提出了一份临时解决方案。
很长一段时间以来,SHA-1哈希函数一直被用于加密和保证数据完整性。令人遗憾的是,近年来,该算法已被证实有足够攻击者发起攻击的漏洞,用户应该使用一种更新的协议(SHA-256)取代它。几年来,企业一直致力于采用一种替代方案,但有个问题是,需要处理数以百万计的使用了这个停用的函数的设备。如果企业强制推行一种更为安全的协议,那么他们就要冒着拒绝那些没有能力更新系统的设备访问的风险。如果企业什么都不做,那么用户就会继续暴露,而且没有动力更新系统或者寻找替代方案。
根据来自Facebook的Alex Stamos报道,他们已经确认,有3%~7%的用户使用着不支持新协议的浏览器。他们已经实现了一种技术,可以的话就使用SHA-256,而只把SHA-1作为最后的选择。Twitter也报道了类似的用户数量,这些用户受他们使用的老设备所限,只能使用SHA-1。
通过同CloudFlare合作,这三家公司已经向CA/Browser论坛(浏览器证书颁发机构论坛)提交了一份修正案,针对那些受限于SHA-1的用户,提供了一种解决用户需求的过渡方案:
当然,尽管提案允许,但除了策略考量外,用户还是会受SHA-1的弱点所影响,所以对于受影响的用户而言,尽快升级浏览器和/或设备还是很重要的。