SHA1 sertifikalarının güveliğini kırmanın maliyetinin düştüğüne ilişkin raporların ardından, Mozilla SHA1-tabanlı sertifikalarını reddetmeyi planlanan tarihten 6 ay öncesine çekmeyi değerlendiriyor.
Araştırmacılar 2005 yılından itibaren SHA1 tipindeki sertifikalardaki problemleri ve zaafları buluyorlar. Genel kanı da artık yavaş yavaş bu algoritmadan uzaklaşmak, artık kullanmamak yönünde. Ancak daha güvenli alternatife hızlı bir geçiş yapmak, internet erişimlerinde ciddi problemler yaratabileceği için, Microsoft, Google ve Mozilla gibi büyük tarayıcılar SHA1 sertifikalarını 1 Ocak 2017’den itibaren geçersiz kılmayı hedefliyor.
Salı günü yayınlanan bir blog yazısında Mozilla Firefox 38 ile birlikte geliştiricilere Web console üzerinden SHA1 veya daha eski algoritmalarla imzalanmış sertifikalara güvenmemelerini yönünde bir uyarı yayınlandığını açıkladı.
Aralık 2015’te yayınlanması planlanan Firefox 43 ile de Ocak 2016 tarihinden itibaren SHA1 sertifikası kullanıldığında “Güvenilir olmayan bağlantı” mesajını gösterecek.
Mevcut plan ise 1 Ocak 2017’den itibaren tüm SHA1 SSL sertifikalarını reddetmeye başlayacak olan Mozilla, araştırmacıların SHA1 sertifikalarını kırmanın daha da kolaylaştığını göstermelerinin ardından bu tarihi 1 Temmuz 2016’ya çekmeye hazırlanıyor.
2012’de kriptografi uzmanlarının tahminine göre SHA1 ile şifrelenmiş bir sertifikayı kırmak 2015’te $700.000, 2018’de ise $173.000 olarak tahmin ediliyordu. Ancak yeni bir teknik ve daha güçlü donanımlar ile şu anda bunun maliyeti $75.000-$120.000 arasına kadar inmiş durumda, ve hızla düşüyor.
Netcraft tarafından yapılan bir araştırmada ise dünyada SHA1 hash algoritması ile şifrelenen 1 milyondan fazla SSL sertifikası olduğu söyleniyor.
SSL Sertifikanızı IHS Telekom tarafından satın aldıysanız endişelenmenize gerek yok SHA2 geçişiniz hızlı ve kolayca gerçekleşebiliyor bunun için sadece destek talebi oluşturmanız yeterli.