W ramach przechodzenia na bardziej bezpieczny algorytm SHA-2 Microsoft umożliwi wygaśnięcie Secure Hash Algorithm 1 (SHA-1) Trusted Root Certificate Authority. Począwszy od 9 maja, wszystkie główne procesy i serwisy Microsoftu — wliczając w to certyfikaty TLS, podpisywanie kodu i hashing plików — będą używały wyłącznie algorytmu SHA-2. Skąd ta zmiana?
Algorytm hashowania SHA-1 z upływem lat stał się mniej bezpieczny z powodu odkrytych w nim podatności, zwiększonego użycia procesora i nadejściem chmury obliczeniowej. SHA-1 jest przestarzałym kryptograficznym hashem, który według znacznej części społeczności bezpieczeństwa komputerowego uznawany jest za niebezpieczny. Używanie algorytmu haszującego SHA-1 w certyfikatach cyfrowych może doprowadzić do spoofingu zawartości przez atakującego, przeprowadzenia ataków phishingowych lub ataków typu man-in-the-middle.
SHA-1 doczekał się mocniejszych alternatyw, takich jak Secure Hash Algorithm 2 (SHA-2), które są obecnie preferowane, gdyż zwyczajnie nie dosięgają ich problemy pierwszej wersji. Microsoft już kilka lat temu przestał uznawać SHA-1 za bezpieczny, w 2019 roku zaczął podpisywać aktualizacje Windows z użyciem SHA-2, a w zeszłym roku wycofał z Microsoft Download Center całą zawartość podpisaną przez SHA-1. A co oznacza ta najnowsza zmiana?
Wygaśnięcie Microsoft SHA-1 Trusted Root Certificate Authority wpłynie tylko na certyfikaty SHA-1 podłączone do Microsoft SHA-1 Trusted Root Certificate Authority. Zainstalowane ręcznie, firmowe lub samopodpisujące się certyfikaty SHA-1 nie będą tym objęte. Mocno jednak nakłaniamy Twoją organizację do przejścia na SHA-2, jeśli jeszcze tego nie zrobiliście.
— Rommel Degracia, Program Manager w Microsoft
Microsoft spodziewa się, że wygaśnięcie certyfikatu SHA-1 przebiegnie spokojnie. Wszystkie główne aplikacje i usługi były i są testowane, a gigant przeprowadził szeroką analizę potencjalnych problemów i rozwiązań. W przypadku ich napotkania można skorzystać z artykułu na stronie pomocy technicznej. Ponadto zespoły Microsoft Customer Service & Support pozostają dostępne dla klientów.