Administratorzy stron, którym zależy na aktualnych zabezpieczeniach, być może powinni poświęcić tej sprawie nieco uwagi. Microsoft zapowiedział na swoim blogu, że zamierza stopniowo wycofać się ze wspierania certyfikatu SHA-1, a korzystające z niego witryny nie będą dłużej uznawane za bezpieczne. Zmiany wejdą w życie w lipcu, wraz z ukazaniem się aktualizacji Windows 10 Anniversary Update.
SHA-1 (Secure Hash Algorithm) to funkcja skrótu (haszująca), która już wiele lat temu zyskała opinię zawodnej i doczekała się dwóch nowocześniejszych następców: SHA-2 i SHA-3. Amerykański Narodowy Instytut Standaryzacji i Technologii wycofał się ze stosowania SHA-1 już w 2010 roku, tym niemniej algorytm nadal pojawia się w niektórych witrynach. Także Microsoft postanowił pójść z duchem czasu, ogłaszając, że ""począwszy od Windows 10 Anniversary Update, Microsoft Edge i Internet Explorer nie będą rozpoznawać stron chronionych przez certyfikat SHA-1 za bezpieczne, a ikona kłódki w pasku adresu zostanie dla nich usunięta. Strony nadal będą działały, ale nie będą uznawane za bezpieczne. Zmiana będzie widoczna niebawem w buildach Windows Insider Preview i rozszerzona tego lata. W lutym 2017 r. zarówno Microsoft Edge, jak i Internet Explorer będą blokować certyfikaty TLS, podpisane przez SHA-1".
Aktualizacja będzie dotyczyć Microsoft Edge w Windows 10 i Internet Explorer 11 w Windows 7, Windows 8.1 i Windows 10 i odnosić się do certyfikatów powiązanych z programem Microsoft Trusted Root Certificate. Obie przeglądarki dostarczą więcej szczegółów w konsoli F12 Developer Tools. Informacje można też znaleźć na stronie Microsoft TechNet. Na blogu Microsoft Edge Dev znalazły się przykładowe komendy, które pozwolą przetestować logowanie z włączonym lub wyłączonym SHA-1. Deweloperzy, którzy są zainteresowani nowszymi i zaufanymi algorytmami kryptograficznymi, mogą przeczytać artykuł Protecting Against Weak Cryptographic Algorithms.
341f31d.png)