Chrome ประกาศนโยบาย ถือว่าใบรับรอง SSL ที่ใช้ SHA-1 ไม่ปลอดภัยต้นปี 2015

ส่วนประกอบของใบรับรอง SSL มีสองส่วนสำคัญได้แก่ กุญแจสาธารณะ และลายเซ็นดิจิตอล โดยลายเซ็นดิจิตอลที่ได้รับความนิยมกันมากคือการใช้ค่าแฮช SHA-1 มาเข้ารหัสด้วยกุญแจ RSA ของหน่วยงานที่รับรองใบรับรองนั้นๆ ที่ผ่านมา SHA-1 เริ่มมีงานวิจัยแสดงว่ามันอ่อนแอกว่าที่ออกแบบไว้ ตอนนี้ทางกูเกิลประกาศแล้วว่าจะเริ่มถือว่าใบรับรองที่ใช้ SHA-1 ไม่ปลอดภัยตั้งแต่ปี 2015 เป็นต้นไป

กูเกิลระบุแผนบันไดสามขั้นเพื่อกดดันให้เว็บที่เข้ารหัสเปลี่ยนใบรับรองเป็นใบรับรองใหม่ที่ใช้ลายเซ็นดิจิตอลที่หนาแน่นกว่าเดิม

• Chrome 39 ที่จะออกวันที่ 26 กันยายนนี้ จะเริ่มแสดงไอคอนสีเหลืองเพื่อเตือนแทนไอคอนสีเขียวตามปกติ
• Chrome 40 ที่จะออกเดือนพฤศจิกายนจะแสดง URL โดยไม่มีรูปกุญแจ เหมือนเว็บไม่ได้เข้ารหัส
• Chrome 41 ที่จะออกต้นปีหน้า จะแสดงเครื่องหมายสีแดงว่าเว็บไม่ปลอดภัย

SHA-1 มีความยาวค่าแฮช 160 บิต แต่งานวิจัยแสดงให้เห็นว่ามีความแข็งแกร่งจริงๆ ที่ระดับ 60 บิตเท่านั้น Bruce Schneier เคยประมาณค่าใช้จ่ายระบุว่าการหาค่าแฮชที่ชนกัน (ซึ่งทำให้สร้างใบรับรองปลอมได้) ในปี 2015 อาจจะใช้ต้นทุนเพียง 700,000 ดอลลาร์ และจะถูกลงอย่างรวดเร็วตามราคาซีพียู ทำให้ใบรับรองที่ใช้ SHA-1 ไม่ควรใช้ป้องกันข้อมูลมูลค่าสูงอีกต่อไป

Blognone เองก็ใช้ลายเซ็นดิจิตอลแบบ SHA-1 รวมถึงเว็บที่เข้ารหัสอีกประมาณ 90% ก็ใช้แนวทางนี้เช่นกัน สำหรับเว็บข้อมูลทั่วไปคงมีเวลาก่อนที่ Chrome 40 จะออก แต่สำหรับเว็บข้อมูลทางการเงิน ควรเร่งเปลี่ยนใบรับรองก่อน Chrome 39 จะออกช่วงสิ้นเดือนนี้

ที่มา - Google Online Security Blog