Google Chrome a SHA-1 certifikáty - konec podpory

25. 9. 2014 | Jindřich Zechmeister

Konec podpory hash algoritmu SHA-1 není obecně novinkou, avšak proces ukončení výrazně zrychlil Google díky svému prohlížeči Chrome. V nejbližších týdnech je třeba zkontrolovat své certifikáty. V tomto článku se dozvíte, zdali se vás problém týká a jak ho vyřešit.

logo google chrome

Co je to SHA-1 a kde se používá?

Pod zkratkou SHA se ukrývá termín Secure Hash Algoritm a jedná se o často používanou hašovací funkci. Haš (anglicky hash) nebo též otisk je unikátní "sádrový odlitek" dat, který vystihuje jejich konkrétní podobu. Pokud se data pozmění, nebude ano otisk stejný. Pomoci hashe můžete zkontrolovat, zdali nebyly data změněna.

Více informací o hash algoritmech a SHA-2 najdete v článcích Jak využít SHA-2 v SSL certifikátu a Nahrazení SHA-1 certifikátu SHA-2 - FAQ.

Proč najednou změna hash algoritmu?

Všechny algoritmy používané v oblasti šifrování a bezpečnosti jsou založeny na nějakém matematickém problému, který je složité vyřešit. Předpokládá se, že není v lidských ani technických možnostech výpočetně tyto algoritmy prolomit. S vývojem výpočetního výkonu počítačů a možností pronajmout si výkon tyto algoritmy zastarávají, a je nutné je jednou za čas vyměnit za silnější (buď matematicky složitější, nebo v případě šifrování použití delších klíčů).

Kdy je správný okamžik pro změnu je otázka; většinou se životnost algoritmu řídí doporučením úřadů pro standardizaci. Jedním z nich je americký NIST - National Institute of Standards and Technology. Ten nedoporučil používat SHA-1 po roce 2013, takže není divu, že o jeho nahrazení začaly uvažovat i výrobci software.

Bezpečnostní varování u budoucích verzí Google Chrome

Populární prohlížeč Google Chrome začne u některých certifikátů s SHA-1 zobrazovat nepříjemné varování, v nejhorším případě chybu zabezpečení, která se běžně projevuje u neplatných certifikátů.

  • Chrome 39, který vyjde už v listopadu, bude u certifikátů s SHA-1 v chainu (spojení certifikátu intermediate certifikátem na kořenový certifikát autority) a s expirací po datu 1.1.2017 zobrazovat symbol žlutého trojúhelníku, který nyní zobrazuje u smíšeného obsahu. Varování bude znít Secure, but with minor errors - tedy Bezpečné, ale s menšími chybami.

secure, but with minor errors

Ukázka Secure, but with minor errors. Zdroj: Google security blog

  • Chrome 40 (vyjde po Vánocích) - certifikáty s expirací mezi 1.6.2016 a 31.12.2016 s SHA-1 v chainu bude zobrazovat stejné varování, jako je uvedeno výše - Bezpečné, ale s menšími chybami. Pokud bude expirace po 1.1.2017, bude zobrazeno varování "neutral, lacking security" - Neutrální, ale s bezpečnostními nedostatky. Zámek zmizí, a ikona bude stejná, jako u webu bez certifikátu.

neutral, lacking security

Ukázka Neutral, lacking security. Zdroj: Google security blog

  • Chrome 41 - finální fáze ukončení podpory. Pro certifikáty s expirací v druhé polovině roku 2016 platí výše uvedené Neutral, lacking security. Pro druhý případ, tedy certifikáty s expirací po 1.1.2017 bude platit stav Affirmatively insecure - Určitě (jistě) nezabezpečený. Níže je grafický symbol tohoto stavu - stejný, jako v současnosti u webů s neplatným SSL certifikátem.

affirmatively insecure

Ukázka Affirmatively insecure. Zdroj: Google security blog

Co to znamená pro uživatele SSLmarketu?

Většina uživatelů SSL certifikátů od SSLmarket může být v klidu, zejména pokud je nemají na více let. Stačí překontrolovat data uvedená níže, a případné prodloužení provést s certifikátem využívajícím SHA-2 algoritmus.

Nutné je však znovu vystavit všechny SHA-1 certifikáty, které expirují po 31.12.2015.

Jak změnit certifikát s SHA-1 na certifikát s SHA-2 a bez varování?

Pokud se vás termíny uvedené výše týkají, a hrozí vám varování v prohlížeči Chrome, neváhejte si zdarma nechat certifikát vystavit s algoritmem SHA-2. Můžete to provést zcela zdarma přímo v detailu certifikátu v zákaznické administraci.

Doporučujeme se na změnu připravit však, a upgrade provést dříve, než začne Chrome zobrazovat výše uvedené připomínky k zabezpečení.

V případě nejasností poradí SSLmarket

Pokud při přechodu na SHA-2 vzniknou jakákoliv nejasnosti, neváhejte se obrátit na podporu SSLmarketu, která vám s přechodem pomůže. Určitě se též podívejte na speciální stránku s nejčastějšími dotazy, kterou jsme pro vás připravili - Nahrazení SHA-1 certifikátu SHA-2 - FAQ.

Zdroje informací:

, Google Security Blog

SHA1 Deprecation Policy, Microsoft PKI blog


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz