Microsoft สั่งแบน SHA-1 Certificates บน IE และ Edge เป็นที่เรียบร้อย

มาพร้อมกับ Microsoft Patch Tuesday ประจำเดือนพฤษภาคม 2017 ทั้ง Internet Explorer และ Microsoft Edge เวอร์ชันล่าสุดต่างพร้อมแสดงการแจ้งเตือน SSL/TLS Certificate ที่ถูกรับรองโดยใช้ฟังก์ชันแฮชแบบ SHA-1 ว่าไม่มั่นคงปลอดภัยอีกต่อไป โดยเริ่มมีผลตั้งแต่วันนี้

หลังจากที่ Chrome และ Firefox ประกาศยกเลิกการรับรอง SHA-1 ไปเมื่อช่วงต้นปีที่ผ่านมา ล่าสุด Microsoft ได้ประกาศให้เว็บเบราเซอร์ของตนเลิกรับรอง Certificate ที่ใช้ SHA-1 แล้วเช่นกัน เนื่องจากฟังก์ชันแฮชดังกล่าวเปราะบางต่อการถูกแฮ็คด้วยเทคโนโลยีในปัจจุบันเกินกว่าที่จะรับได้ และ Google ก็ออกมาแสดงให้เห็นแล้วว่า สามารถโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกัน โดยเร็วกว่าการโจมตีแบบ Brute Force ถึง 100,000 เท่า

Chrome เวอร์ชัน 56 ที่ออกมาเมื่อเดือนมกราคมที่ผ่านมา เริ่มบล็อกการใช้ SHA-1 Cercificate ที่ออกโดย CA สาธารณะที่ได้รับการยอมรับ ในขณะที่เวอร์ชัน 57 เริ่มบล็อก SHA-1 Certificate ที่ออกโดย Local Root CA ด้วยเช่นกัน อย่างไรก็ตาม Chrome ยังพอมีกลไกที่อนุญาตให้องค์กรสามารถปิดการจำกัดการใช้งานนี้ได้ สำหรับองค์กรที่มี Certificate Infrastructure ของตนเอง และจำเป็นต้องใช้ SHA-1 Root Certificate ในระบบเก่าๆ ที่ยังไม่รองรับ SHA-2

การแบน SHA-1 บน IE และ Edge นี้ ส่งผลกระทบต่อ Root Certificate ที่อยู่ใน Microsoft Trusted Root Program เท่านั้น สำหรับ SHA-1 Certificate ที่ใช้กันเองภายในองค์กรจะยังไม่ได้รับผลกระทบแต่อย่างใด แต่ Microsoft ก็ได้วางแผนที่จะแบนการใช้งาน SHA-1 Certicate ทั้งหมดตาม Google เช่นเดียวกัน

ที่มา: http://www.csoonline.com/article/3195822/security/microsoft-finally-bans-sha-1-certificates-in-internet-explorer-and-edge.html