两周前,Mozilla率先宣布了要撤除对SHA-1证书的支持的消息。而现在,Microsoft Edge团队也作出了类似的“提前退休”计划。此前,来自法国、荷兰和新加坡大学的科学家团队刚刚破解了SHA-1算法。通过使用64个GPU的集群,他们在仅仅10天的时间里,就地突破了SHA-1加密的内层。
这番操作的总体成本在7.5万到12万美元之间(约合47.6万至76.2元RMB),远低于其他科学家们认为的所需门槛。为了告知大家这个迫在眉睫的风险,这项研究已经被公之于众。
首先采取行动的是Mozilla,其已经在博客上发表了一份声明。在重新评估之后,他们已决定将2017年1月1日的截止日期,提前至2016年7月1日。
昨天的时候,微软Edge项目经理Kyle Pflug也宣布:“鉴于攻击SHA-1算法的新进展,我们现已考虑将放弃SHA-1签署的TLS证书的时间提前至2016年6月份”。
此前,微软的计划是在2017年1月1日的时候停止支持。尽管几个主要的浏览器厂商均已表态,但Google暂时还没有将其初计划的支持截止时间(同为2017年1月1日)提前的计划。
一份来自Netcraft的研究指出,当前仍有很过百万网站在其基础设施上部署了风险重重的SHA-1签名证书,其中不乏美国政府和军队网站。
作为在中国颁发SSL证书主要的机构,环度网信也宣布不再颁发SHA-1算法的证书。