Facebook警告说,当一个关键的安全算法停止使用后,数以百万计的人浏览网页会有很高的风险。该算法被称为SHA-1,将于2016期间被网页浏览程序停止支持。它的下一代 —— SHA-2——将不会与旧的Web浏览器兼容。
Facebook表示很多时候的信息泄露都是由于SHA-1过期了而且正好在网络的使用被密切关注的区域。Facebook的首席安全官亚历克斯·斯塔莫斯在博客中写道:“我们不认为削减数以千万计的人从互联网加密中获益是正确的。”
Facebook收集的统计数据表明, 3%到7%Web浏览器都太过时了,所以它们不能使用SHA-2。
SHA-1算法用于保证身份的很多安全措施,并且隐瞒人们在网上做了什么。但是,由于近来实施攻击的成本已经大幅下滑,所以SHA-1已成为攻击者伪造网站和侦察数据的直接目标。
安全公司CloudFlare也已发出SHA-1算法的过期警告,并列出了各国家主要的不能使用新版本SHA-2工作的旧浏览器的名单。
CloudFlare公司的联合创始人Matthew Prince在博客中说道: “不幸的是,这份名单与在世界上最贫穷,最压抑,最饱受战争蹂躏的国家的名单相重合。”
他说:“换句话说,12月31日之后,大部分的加密网页将被从需要加密的互联网用户的最弱势群体中剔除。”
Facebook和CloudFlare共同呼吁改变Web浏览器处理SHA-1算法方式以防SHA-1的过期。该提议将意味着那些不能使用新版本算法的浏览器仍然可以使用SHA-1算法。
已更新其该算法新版本的新版浏览器将支持SHA-2。
这两家公司还建议制定新的浏览器的安全标准,类似CA/Browser论坛,以支持两层系统的处理。CA/Browser论坛还没有做出回应。
发表评论
您还未登录,请先登录。
登录