SHA2: Em 2016, dezenas de milhões de pessoas em todo o mundo enfrentarão sérios problemas de conexão em alguns dos sites mais populares e criptografados, como Facebook, Google, Gmail, Twitter e vários sites da Microsoft.
Por quê; Porque o navegador ou o dispositivo deles não conseguirá ler os novos certificados mais seguros.
O algoritmo de criptografia SHA1, que está na vanguarda da segurança na web há uma década, será completamente retirado, pois há relatos de que ele poderá ser “quebrado” até o final do ano, tornando seus milhões de usuários praticamente inúteis e enfraquecidos. .
[pullquote]“Estamos prontos para deixar uma parte inteira da internet no passado.”[/pullquote]
As autoridades de Certificados, por outro lado, declararam que responderão imediatamente, parando de emitir certificados SHA1 a partir da meia-noite de 1º de janeiro de 2016, escolhendo os certificados SHA2.
O algoritmo SHA2 é muito mais poderoso e durará muitos anos. Mas há um problema.
Uma parcela bastante grande de usuários da Internet não possui navegadores ou dispositivos compatíveis com o algoritmo SHA2.
“Estamos prontos para deixar uma parte inteira da internet no passado”, disse o CEO da Cloudflare, Matthew Prince, em uma entrevista em Nova York no início deste mês.
A criptografia é importante não apenas para a proteção de transações bancárias eletrônicas, contas de email e redes sociais. A barra verde no URL ou no cadeado do seu navegador verifica a integridade de um site e oferece um forte nível de garantia de que a página não foi modificada de nenhuma maneira.
Portanto, a maioria dos sites atualmente adota criptografia porque custa pouco ou nada para implementá-la.
Em tempos de violação, vazamento de dados em massa e vigilância em massa, a adoção de um algoritmo poderoso como o SHA2 é uma ação muito importante e necessária. Mas os construtores de navegadores e os proprietários de sites em geral pensaram que tinham mais tempo.
Pesquisadores de segurança de destaque disseram que o SHA1 durará até 2018, mas os relatórios de hoje indicam que o algoritmo SHA1 pode estar quebrado até o final de 2015.
A boa notícia é que a maioria dos sites já usa certificados SHA2 fortes. Mas cerca de 24% dos sites que usam criptografia SSL ainda usam o algoritmo SHA1. Isso significa cerca de 1 milhão de sites.
Esse número está diminuindo a cada mês e, até o final do ano, o percentual poderia atingir 10% de todos os sites, o que significa que a grande maioria dos sites criptografados estará protegida contra violações do SHA1.
Para a maioria das pessoas, não haverá problema. A maioria já está usando a versão mais recente do Chrome ou Firefox no sistema operacional mais recente ou o smartphone mais recente com o software mais recente, compatível com o antigo algoritmo SHA1 e com o SHA2 mais recente.
Mas e aqueles que usam dispositivos mais antigos?
Ainda não há informações específicas sobre quantas pessoas estão executando navegadores ou dispositivos antigos ou não suportados.
Ivan Ristic, chefe do SSL Labs na Qualys, disse ao ZDNet que usuários do Windows XP SP2 e usuários de telefones Android 2.2 e versões anteriores não terão suporte nos certificados SHA2.
“Devido à mudança no SHA2, é provável que usuários com navegadores mais antigos comecem a ter problemas com maior frequência ao longo de 2016”, disse ele.
disse Ristic.
A Mozilla Foundation descobriu isso de uma maneira difícil no ano passado.
No ano passado, o fabricante do navegador renovou sua criptografia de página com um novo certificado SSL usando o algoritmo SHA2. Portanto, quem executou um navegador ou sistema operacional que não suporta o SHA2 não pôde acessar o novo site e, é claro, não pôde fazer o download do navegador.
A atualização “matou um milhão de downloads”, disse Chris More, da Mozilla.
Portanto, desde o início de 2016, quando a emissão de novos certificados com o algoritmo SHA1 for interrompida, os proprietários de sites e os desenvolvedores de aplicativos terão um ano inteiro para atualizar para o SHA2.
