SHA-1, messa al bando con problemi

La decisione di Mozilla di eliminare lo storico algoritmo da Firefox porta a spiacevoli conseguenze sul fronte della sicurezza. La Fondazione è costretta a reimplementare la tecnologia, almeno in via temporanea
La decisione di Mozilla di eliminare lo storico algoritmo da Firefox porta a spiacevoli conseguenze sul fronte della sicurezza. La Fondazione è costretta a reimplementare la tecnologia, almeno in via temporanea

I certificati crittografici firmati digitalmente tramite l’algoritmo SHA-1 hanno oramai i mesi contati , ma come già previsto da alcuni lo storico abbandono sta portando alla comparsa di problemi di sicurezza indesiderati. Il tempo ci metterà una pezza, e nel mentre Mozilla ripristina il supporto della tecnologia creata da NSA in Firefox.

Come evidenziato dalla fondazione americana , infatti, il rifiuto dei nuovi certificati firmati con SHA-1 (procedura implementata a partire dal primo gennaio 2016) interferisce con i dispositivi e i software di tipo “man-in-the-middle”: scanner di sicurezza e antivirus non riescono più a connettersi ai server HTTPS, dice Mozilla, con la conseguente impossibilità di garantire una protezione sempre aggiornata all’utente.

Per evitare rischi ben più pericolosi dell’insicurezza (al momento ancora teorica) delle firme SHA-1, Mozilla ha quindi deciso di reimplementare il supporto all’algoritmo in una versione aggiornata dell’ ultima release di Firefox disponibile per il download. E chi non vuole reinstallare il browser? Potrà riabilitare SHA-1 dal pannello delle opzioni accessibile tramite il comando “about:config”.

Per ora SHA-1 ha ancora una sua necessità, suggerisce Mozilla, ma i piani di abbandono definitivo della tecnologia su Firefox (fissati per questa estate) procedono come previsto e le software house più importanti dovrebbero presto relegare l’algoritmo al dimenticatoio.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

08 01 2016
Link copiato negli appunti