Google končí s SHA-1, připravte se na SHA-2

O ukončení podpory šifrovacího aloritmu SHA-1 se na CA/B mezi certifikačními autoritami, Googlem, Microsoftem a vlastně všemi šuškalo už několik let. SHA-1 už prostě nestačí a čeká jej stejný osud jako kdysi MD5. Microsoft už ostatně ohlásil ukončení podpory mezi SSL certifikáty nejrozšířenějšího šifrovacího algoritmu SHA-1 od roku 2017. Do svých rukou to však vzal i Google, ovšem mnohem precizněji — ve třech postupných fázích ukončení podpory šifrovacího aloritmu SHA-1 s přechodem na silnější a spolehlivější SHA-2. Chcete-li, tak přesněji SHA-256.

Proč to všechno?

Nejprve si vysvětleme, co to SHA-1 vlastně je. Jak SHA-1, tak i SHA-2, jsou šifrovací (resp. podepisovací) algoritmy, které mají své specifické vlastnosti. Jedná se v podstatě o matematické funkce, které se používají jako součást identifikace, kterou zajištují SSL certifikáty. Tyto algoritmy pracují s hashem, kterým se ověřuje integrita informací. Každý soubor nebo informace mají svůj specifický hash. Jakmile informaci pozměníme (např. útočník), hash se změní.

Ve chvíli, kdy je ze serveru stažen SSL certifikát, je z něj extrahován hash. Tento hash je závislý na tom, jakým způsobem je SSL certifikát podepsán (MD5, SHA-1, SHA-256, SHA-384, SHA-512 atd.). Hash vypočítaný prohlížečem je pak porovnán s hashem staženého SSL certifikátu a pokud souhlasí, je ověřena pravost (důvěryhodnost) SSL certifikátu a tím i samotného serveru.

Kterých SSL certifikátů se to týká?

Přechod na SHA-2 se týká všech SSL certifikátů, které splňují alespoň jedno z následujících kritérií:

  • certifikát byl podepsán algoritmem SHA-1 a expiruje po 01.01.2016
  • certifikát byl podepsán intermediate certifikátem s SHA-1

Jak to vyřešit a jak postupovat?

Řešení je v podstatě jednoduché — SSL certifikát stačí přegenerovat. To můžete provést v detailu daného SSL certifikátu po přihlášení ke svému účtu na www.ssls.cz.

Je nutné mít na mysli skutečnost, že po přegenerování SSL certifikátu (vystavení nového SSL certifikátu) bude nutné na serveru nahradit nejen ten, ale i stávající intermediate certifikáty.

SSL certifikáty Comodo a PositiveSSL

Všechny SSL certifikáty Comodo a PositiveSSL je můžete kdykoliv přegenerovat.

Nový SSL certifikát bude podepsán algoritmem SHA-2. Taktéž je nutné na serveru aktualizovat i všechny nainstalované intermediate certifikáty (stávající SHA-1 intermediate certifikáty nelze použít).

SSL certifikáty RapidSSL, GeoTrust, Thawte a Symantec

SSL certifikáty těchto značek vystavené nebo přegenerované po 22.10.2014 jsou podepisovány algoritmem SHA-2.

SSL certifikáty Certum a SpaceSSL

Všechny SSL certifikáty vystavené 17.11.2014 a po tomto datu jsou automaticky podepsány algoritmem SHA-2.

Přegenerování SSL certifikátů Certum a SpaceSSL je možné provést od 25.11.2014.

Tři fáze ukončení podpory SHA-1

Od 26.09.2014

V první fázi budou všechny SSL certifikáty s datem expirace 01.01.2017 nebo po tomto datu budou v prohlížeči Google Chrome označeny visacím zámkem se žlutým trojúhleníkem. Šifrování komunikace SSL certifikátem bude nadále plně funkční.

Od 07.11.2014

Ve druhé fázi budou všechny SSL certifikáty s datem expirace mezi 01.06.2016 a 31.12.2016 označeny žlutým trojúhelníkem jako v první fázi.

Všechny SSL certifikáty s expirující 01.01.2017 nebo po tomto datu nebudou zobrazovat visací zámek indikující zabezpečené spojení stejným způsobem, jako je to u protokolu HTTP.

Od 01.01.2015

Ve třetí fázi budou všechny SSL certifikáty s datem expirace mezi 01.06.2016 a 31.12.2016 i nadále označeny jako v první fázi.

Všechny SSL certifikáty s expirující 01.01.2017 nebo po tomto datu budou v prohlížeči zobrazovat varování o nedůvěryhodném SSL certifikátu.

Podpora algoritmu SHA-1

Verze Chrome \ SSL certifikát SHA-1
Expirace 31.12.2015 a dříve
SHA-1
Expirace 01.01. ~ 31.05.2016
SHA-1
Expirace 01.06. ~ 31.12.2016
SHA-1
Expirace 01.01.2017 a později
Chrome 39 (září 2014) SHA-1 SSL certifikát SSL certifikáty s SHA1 platnost Důvěryhodnost SHA-1 SSL certifikátů Nutnost reissue SHA-2
Chrome 40 (listopad 2014) Google Chrome SHA-1 SSL certifikát SHA-1 v pořádku Přegenerovat nový SHA256 SSL certifikát Nahradit SHA-1 novým SSL certifikátem s SHA-2
Chrome 41 (první pol. 2015) SHA-256 SSL certifikát v prohlížeči Google Chrome Google Chrome SHA-1 SSL certifikát vyměnit Výměna SSL certifikátu s SHA-1 Nový SSL certifikát s SHA-256

Podpora algoritmu SHA-2

Vzhledem k faktu, že se s širokým nasazením algoritmů SHA-2 počítalo již mnoho let, je SHA-2 podporován drtivou většinou webových prohlížečů a operačních systémů. Některé najdete v tabulkách níže:

Prohlížeče podporující SHA-2

Internet Explorer 6.0+ (s nainstalovaným Service Pack 3)
Firefox 1.5+
Safari na Mac OS X 10.5+
Opera 9.0+
Chrome 26+

Operační systémy podporující SHA-2

Windows XP (s nainstalovaným Service Pack 3)
Windows Server 2003 (s patch instalací)
Apple OS X 10.5+
Apple iOS 3+
Android 2.3+

FAQ — Na co se nejčastěji ptáte ohledně přechodu na SHA-2

Jak zjistím, zda náš certifikát používá SHA-1 nebo SHA-2?

Zjistit, zda máte server zabezpečen SSL certifikátem s SHA-1 nebo SHA-2 můžete zjistit snadno pomocí nástroje SSL Tester od SSLS.CZ.

Náš SSL certifikát používá SHA-1 a expiruje před 01.06.2016, musím ho vyměnit?

Nemusíte, takového SSL certifikátu se přechod na SHA-2 netýká. Výměna by byla nutná v případě, že by SSL certifikát expiroval 01.06.2016 nebo později.

Náš SSL certifikát s SHA-1 musíme vyměnit za certifikát s SHA-2. Jak na to?

Všechny SSL certifikáty značek Comodo a PositiveSSL můžete přegenerovat (vystavit nový) zcela zdarma v detailu SSL certifikátu po přihlášení ke svému účtu na SSLS.CZ. SSL certifikáty ostatních značek bude možné přegenerovat v nejbližší době.

SSL certifikát s SHA-1 používáme pro zabezpečení Mail serveru. Musíme ho vyměnit, když se to týká jen prohlížeče Google Chrome?

Je-li datum expirace SSL certifikátu před 01.01.2017 a nepoužíváte-li jej k zabezpečení webového serveru, pak k jeho výměně prakticky nemáte důvod.

Bude nutné vyměnit i intermediate CA certifikáty?

Ano, intermediate certifikáty je nutné taktéž aktualizovat. Jakmile SSL certifikát přegenerujete, přihlašte se ke svému SSLS.CZ účtu a v detailu SSL certifikátu pod samotným serverovým SSL certifikátem najdete příslušné intermediate CA certifikáty.

Musí Root CA být SHA-2 nebo se to týká jen intermediate CA certifikátů?

Podle informací od společnosti Google není nutné, aby byl kořenový certifikát podepsán algoritmem SHA-2. Aktualizace kořenových CA certifikátů tedy není nutná.

SSL certifikát — 139 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

Zelený adresní řádek

Nepřehlédnutelný indikátor důvěryhodného webu, díky kterému zvýšíte konverze a zisky.

Multidoménové UC/SAN

Skonsolidujte všechny Vaše SSL certifikáty do jednoho multidoménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Uživatel SSL Nový zákazník

Zavřít
Zavřít
Zavřít
Máte dotaz?
Napište nám
Nenašli jste odpověď na svůj dotaz na stránce Podpora a nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací
Souhlasím