Google Chrome vs SHA-1
La notizia, ormai ufficiale, è che Google Chrome terminerà presto di supportare SHA-1. Ma cosa ha portato a questa decisione, e cosa esattamente comporta per il mercato del Web, non è stato sufficientemente spiegato e crediamo utile condividere sul tema qualche informazione in più.
Che il sistema di crittografia SHA-1 fosse debole ed esposto ad attacchi era cosa nota da anni; in rete è possibile trovare articoli che ne parlano già nel 2005, quando un team di esperti di sicurezza cinesi evidenziò una falla nell’algoritmo.
Eppure l'SHA-1 si trova ancora oggi alla base di applicazioni per la sicurezza come PGP e di importanti protocolli di Internet come SSL (Secure Sockets Layer), utilizzato da siti di e-commerce e banche online per proteggere le loro transazioni.
Molti service provider e fornitori di servizi online si sono già dati da fare per sostituire i vecchi certificati digitali con soluzioni più sicure, e del resto sia Mozilla che Microsoft hanno un loro piano di “deprecazione”, che implica la rinuncia in futuro al sistema SHA-1. Ma Google fa un ulteriore passo in avanti, pensionando già da ora questo sistema di criptazione che non considera sufficientemente sicuro.
E’ una scelta coraggiosa, perché uno dei motivi principali per cui è stato così difficile per i browser allontanarsi da questi algoritmi di firma digitale dipende proprio dalla loro larga diffusione. Quando un browser segnala che un determinato sito web “non è sicuro” e si blocca, l'utente potrebbe semplicemente decidere di adottare un altro broswer.
Google sembra scommettere che Chrome è abbastanza attendibile e soprattutto abbastanza amato dai suoi utenti al punto da rischiare questo “svantaggio” competitivo con gli altri browser, sperando anzi di forzare il mercato ad adeguarsi più velocemente all’applicazione di soluzioni di certificazione sicure.
Anche Opera sostiene il piano di Google su questi aspetti, mentre il team di Safari al momento resta “in finestra a guardare” gli sviluppi commerciali della vicenda e non ha ancora annunciato niente in proposito.
Se non siete sicuri che i vostri sistemi utilizzino certificati sicuri e modelli di criptazione più recenti, potete sempre rivolgervi al vostro tecnico ICOA di fiducia.
Contattate il nostro HelpDesk all’indirizzo email helpdesk@icoa.it oppure richiedete maggiori informazioni sui servizi ICT ICOA all’indirizzo info@icoa.it