Microsoft har nylig kunngjort planene sine om å forlate støtten for TLS-sertifikater signert av SHA -1-hash-algoritmen fra februar 2017. Microsoft erkjente videre at flere nettsteder, brukere og tredjepartsapplikasjoner vil bli hardt berørt når selskapet beklager SHA-1 signerte attester.

Fra 14. februar 2017 vil Microsoft Edge og Internet Explorer 11 forhindre at nettsteder som er beskyttet med et SHA-1-sertifikat, lastes inn og vil vise en ugyldig sertifikatvarsel. Selv om vi sterkt fraråder det, vil brukerne ha muligheten til å ignorere feilen og fortsette til nettstedet, sier Microsoft i blogginnlegget.

Avsløringen er ikke akkurat nyheter: selskapet antydet like mye tilbake i november.

SHA-1-hashingsalgoritmen, brukt for internetsikkerhet i forbindelse med HTTPS-protokollen og sertifikatene som er brukt for å beskytte nettsteder, er blitt erklært utrygg og sårbar for angrep fra godt finansierte motstandere siden 2005, men ble i stor grad brukt før til SHA -2 og SHA-3 algoritmer som ble testet for å være sikrere alternativer for hashingfunksjonaliteter fulgte med. Initiativet er ikke et nytt, og funksjonen har tidligere blitt fordømt og avvist av Google og Mozilla for å være mer utsatt for kryptografiske kollisjoner enn anslått.

Microsoft har detaljert at nettleserne deres, Edge og Internet Explorer, nå vil forhindre nettsteder som bruker SHA-1 signerte sertifikater fra å laste og vil vise et "ugyldig sertifikat" -advarsel for å gjenopprette sikkerheten tilbake til tjenestene. Selv om brukere ikke vil bli tvunget til å hoppe over nettstedene, vil de ha muligheten til å omgå trusselen og få tilgang til det potensielt sårbare nettstedet til tross for advarselen, bare uten "barlåsen" tillitsikon som brukere ser i adressefeltet til nettleserne..

Tredjeparts Windows-applikasjoner som kjører Windows SHA-1 kryptografisk API-sett eller tidligere versjoner av Internet Explorer, vil ikke bli påvirket av disse endringene.