SHA2 hiện đã có sẵn, nhưng nó cũng là lựa chọn chính thức – Chứng chỉ SHA-1 không còn được cấp.
Vì vậy, nếu bạn mua bất kỳ chứng chỉ nào từ Comodo, DigiCert, Thawte hoặc bất kỳ Cơ quan chứng nhận nào khác, hãy mong đợi nó đi kèm với SHA-2 chứ không phải SHA-1.
Những gã khổng lồ công nghệ bao gồm Microsoft, Google và Mozilla đều có mặt trên SHA-2. Trên thực tế, tất cả các trang web có Chứng chỉ SHA-1 đã nhận được cảnh báo trên Chrome kêu gọi nâng cấp lên SHA-2.
SHA 2 là gì?
Đối với những người chưa biết, SHA là tên viết tắt của Secure Hash Algorithm, là một nhóm các hàm băm mật mã được phát triển bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA).
Các hàm băm SHA được các Cơ quan Chứng nhận (Certificate Authorities) sử dụng khi ký Danh sách Thu hồi Chứng chỉ và Chứng chỉ Kỹ thuật số. Thuật toán Secure Hash Algorithm có nghĩa là tạo ra các giá trị hash duy nhất từ các tệp.
Từ năm 2011 đến 2015, SHA-1 là thuật toán chính được sử dụng bởi Chứng chỉ SSL. Nhưng điều đó đã được nâng cấp lên SHA-2, chứa sáu hàm hash ở các cấp độ khác nhau (224, 256, 384, 512, 512/224, 512/256).
Từ hình ảnh trên, trang web này sử dụng SHA-256, đây là chức năng hash phổ biến nhất. Nó thường được gọi là SHA-2 vì mọi người có xu hướng tập trung nhiều hơn vào chiều dài bit; SHA-1 là hàm hash 160 bit, trong khi SHA-2 là hàm băm 256 bit.
Với những điều cơ bản trên đường đi, hãy hiểu tầm quan trọng của việc chuyển đổi từ SHA-1 sang SHA-2.
Tại sao phải nâng cấp lên SHA2?
Năm 2011, Diễn đàn CA/Browser( (một nhóm các Certificate Authorities và một vài trình duyệt web phổ biến) đã quyết định đưa ra các hướng dẫn vận hành cơ bản cho Chứng chỉ SSL. Các yêu cầu thiết lập được ủng hộ cho việc nâng cấp từ SHA-1 lên SHA-2.
Các bên liên quan đã tìm thấy những điểm yếu bảo mật nghiêm trọng với SHA-1 khiến hầu hết thông tin của người dùng dễ bị tổn thương. Vì vậy, những gì chính xác cần thiết nâng cấp?
Lỗ hổng SHA-1
Nếu bạn đã kinh doanh trên internet vào những năm 90, thì bạn sẽ biết quá rõ SHA-1 có mặt ở đâu khi nói đến việc ký Chứng thư số. Trên thực tế, 98% Chứng thư số được cấp cho đến năm 2013 hoàn toàn dựa vào SHA-1.
Nhưng trong vài năm gần đây, các cuộc tấn công mật mã ngày càng mạnh mẽ đã tiếp tục đặt ra nghi ngờ trong suy nghĩ của nhiều người – vì lý do này, các chuyên gia tin rằng đã đến lúc cắt lỗ cho mọi người và chuyển sang thuật toán băm tiên tiến hơn, SHA- 2.
Không giống như SHA-1 dễ bị tấn công khi va chạm, SHA-2 có khả năng chống va chạm. Ngoài ra, SHA-2 là một thuật toán bảo mật mạnh mẽ hơn có thể phù hợp với các máy tính công nghệ cao được sản xuất hiện nay.
Google và Microsoft không chấp thuận SHA-1
Vào năm 2017, Google Chrome đã bắt đầu loại bỏ chứng chỉ SHA-1. Nhưng theo nghĩa thực tế, quá trình này bắt đầu trở lại vào năm 2014 khi họ công khai chính sách khấu hao SHA-1 của mình như sau:
- Chrome 39 sẽ hiển thị thông báo lỗi trên thanh địa chỉ cho bất kỳ Chứng chỉ SHA-1 nào hết hạn vào hoặc sau ngày 1 tháng 1 năm 2017.
- Chrome 40 sẽ hiển thị thông báo lỗi trên thanh địa chỉ cho các trang web có chứng chỉ hết hạn vào hoặc trước ngày 1 tháng 1 năm 2017. Các trang web như vậy được coi là trung tính và thiếu bảo mật.
- Mặt khác, Chrome 41 sẽ hiển thị thông báo ‘không an toàn’ trên các trang web sử dụng Chứng chỉ SHA-1 bắt đầu từ ngày 1 tháng 1 năm 2017.
Thông báo khấu hao đã diễn ra cho đến tháng 1 năm 2019 khi tất cả Google Chromes được phát hành đã ngừng hoạt động cho các trang web có Chứng chỉ SHA-1.
Và cũng giống như Google, Microsoft đã không bị bỏ lại phía sau.
Gã khổng lồ công nghệ cho phép các công ty Chứng chỉ số phát hành Chứng chỉ SHA-1 cho đến đầu năm 2016 – khi hết thời gian, các trang web được yêu cầu cài đặt Chứng chỉ SHA-2.