Mozilla, il piano per eliminare SHA-1

La fondazione del Panda Rosso fornisce nuovi aggiornamenti sul progetto, graduale ma inesorabile, per eliminare completamente il supporto di SHA-1 da Firefox. Avverrà presto, forse anche prima del previsto
La fondazione del Panda Rosso fornisce nuovi aggiornamenti sul progetto, graduale ma inesorabile, per eliminare completamente il supporto di SHA-1 da Firefox. Avverrà presto, forse anche prima del previsto

I ricercatori hanno lanciato l’ennesimo allarme sui rischi di insicurezza connessi all’uso degli hash crittografici calcolati tramite algoritmo SHA-1 , e Mozilla ha risposto confermando i piani già messi in atto da tempo per l’eliminazione graduale della tecnologia dal browser Firefox.

Delle tre fasi del piano anti-SHA-1 , dice Mozilla , gli sviluppatori del browser open source hanno già mosso i primi due psaai: un avviso di sicurezza in merito all’uso dei certificati basati su SHA-1 è stato aggiunto alla Web console in Firefox 38, e con Firefox 43 verrà mostrato un ulteriore avviso di “connessione insicura” con certificati SHA-1 validi dal primo gennaio 2016.

L’ultimo passo è previsto dal primo gennaio 2017, e classificherà tutte le connessioni HTTPS con certificati SHA-1 come insicuri senza distinzioni di sorta. Visti i recenti attacchi contro lo storico algoritmo, però, Mozilla dice di voler valutare un anticipazione della suddetta data di “fine vita” per SHA-1 al primo luglio 2016.

Le iniziative pensate per rafforzare la sicurezza delle comunicazioni HTTPS sono di un certo rilievo per l’utenza di Firefox, visto che Mozilla ha già proposto da tempo (seguendo, come sempre, l’esempio di Google ) di abbandonare del tutto il Web non cifrato (HTTP) in favore di quello cifrato.

Microsoft ha già raccomandato da tempo l’abbandono dell’algoritmo di hashing SHA-1, una tecnologia progettata da NSA nel 1995 e che continua a essere utilizzata, secondo i calcoli di Netcraft , da circa un milione di siti Web che si autodefiniscono “sicuri”. La notizia positiva è che SHA-2, versione più sicura dello storico algoritmo, ha superato SHA-1 a maggio 2015 e continua a crescere nelle preferenze di admin e aziende.

Tornando a Firefox, l’obiettivo di Mozilla in vista della blindatura del browser open source include anche una novità emersa di recente nella build alpha (“Nightly”) del sofware e che riguarda la visualizzazione di una icona “insicura” per le connessioni che trasmettono una password in chiaro (HTTP) invece che su canale cifrato (HTTPS).

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

23 10 2015
Link copiato negli appunti