Microsoft откажется от SHA-1 в июне 2016 года

Следуя примеру Mozilla, Microsoft намерена распространить блокировку алгоритма SHA-1 на Windows в июне 2016 года. Ранее компания планировала ввести блокировку подписанных SHA-1 TLS-сертификатов с 1 января 2017 года, однако в связи с усложнением атак на этот алгоритм дата была перенесена на более ранний срок.

Сомнения в безопасности вынудили Microsoft, Google и Mozilla объявить о том, что их браузеры перестанут принимать SSL-сертификаты, подписанные SHA-1. Исследователям удалось доказать, что злоумышленники могут выпустить поддельный сертификат с таким же хешем, как у легитимного, и тем самым обманным путем заставить пользователя взаимодействовать с вредоносным сайтом.

В прошлом месяце эксперты предупредили компании о том, что прекратить использование небезопасного алгоритма нужно раньше намеченного срока. Причиной этому послужило резкое падение стоимости расшифровки до 75 тыс.- 120 тыс. долларов. В 2012 году эксперты заявляли, что подобная атака в 2015 году будет стоить не менее 700 тыс. долларов.

Mozilla намерена больше не принимать сертификаты SHA-1, независимо от даты их выпуска, с 1 июля 2016 года. Предыдущая дата была намечена на 1 января 2017 года.