طبق سیاست جدید شرکت مایکروسافت، تنها آن دسته از Certificateهای SHA-1 که توسط شرکتهای تجاری صدور Certificate صادر شدهاند کنار گذاشته خواهند شد و Certificateهای درون سازمانی و یا Self-Signed مشمول این سیاستگذاری نمیشوند.
به تازگی Certificateهای SSL/TLS که از الگوریتم Hashing قدیمی SHA-1 استفاده نمودهاند، در بهروزرسانیهای جدید Internet Explorer و Microsoft Edge ناامن تلقی میشوند. این سیاست به دنبال اقدامات مشابه چند ماه گذشته از سوی Chrome و Mozilla Firefox میباشد.
شرکتهای صادر کنندهی Certificate و ارائهدهندگان مرورگرها در چند سال گذشته برای پایان بخشیدن به استفاده از Certificateهای مبتنی بر الگوریتم SHA-1 در فضای وب تلاش کردهاند که دلیل آن را میتوان ناتوانی این الگوریتم در تامین امنیت کافی در برابر حملات Spoofing دانست.
ایجاد این الگوریتم به سال 1995 بازمیگردد اما از سال 2005 آسیبپذیری آن در برابر حملات احتمالی آشکار شد، تا جاییکه موسسهی ملی استاندارد و تکنولوژی آمریکا از سال 2010 استفاده از این الگوریتم را برای سازمانهای فدرال آمریکا را ممنوع نمود، به علاوه شرکتهای صدور Certificate نیز از سال 2016 مجاز به صدور Certificateهای مبتنی بر SHA-1 نبودهاند. (مگر در برخی موارد خاص مانند پایانههای قدیمی پرداخت)
Hash Functionها که SHA-1 نیز یکی از آنها به شمار میرود، جهت پردازش رشته دادههای مبتنی بر عدد و حروف به کار میروند؛ این رشتهها در حقیقیت یک فایل یا بخشی از دادههای رمزنگاریشده را نمایش میدهند. این فرآیند، Digest نام دارد که منحصربهفرد و بازگشتناپذیر بوده و میتواند به عنوان یکDigital Signature نیز عمل نماید.
اخیرا محققان گوگل و مرکز تحقیقاتی CWI با ایجاد حملهای آزمایشی، آسیبپذیری این الگوریتم را در عمل نیز اثبات کردند که در نتیجهی آن دو فایل PDF با یک SHA-1 Digest مشابه ایجاد گردید. این مسئله بیتردید نشان از ناتوانی این Hash Function قدیمی دارد و لزوم پرهیز از به کارگیری آن در برنامههای کاربردی با حساسیت امنیتی بالا را بیان میکند.
ارائهدهندگان مرورگرها از سال 2015 درنظر داشتهاند تا با اعلام ناامنی در Certificateهای SHA-1 مقدمات کنارگذاری کامل آن را فراهم نمایند. Google Chrome و Mozilla Firefox در چند مرحله اقدام به حذف SHA-1 نمودهاند؛ به این صورت که از اوایل سال 2016 ابتدا آن دسته از Certificateهای SHA-1 را که تاریخ صدور آنها به بعد از اول ژانویهی 2016 برمیگشت و سپس سایر Certificateهای SHA-1 از جمله نمونههای قدیمی که از مدت اعتبار بالایی برخوردار بودند، کنارگذاشتند.
Google با عرضهی نسخهی 56 مرورگر Chrome در ماه ژانویه، اقدام به کنارگذاری تمامی Certificateهای مبتنی بر الگوریتم مذکور صادر شده توسط CA سرور های بینالمللی نمود. در نسخهی 57 نیز تمامی Certificateهای مبتنی بر این الگوریتم (حتی Certificateهای صادر شده توسط CA سرورهای Local) ناامن تلقی گردید. با اینحال با توجه به سیاستگذاری برخی سازمانها، راهکاری جهت جلوگیری از اعمال این محدودیت نیز در اختیار آنها قرار میگیرد. ( به دلیل استفاده برخی سازمانها از Local Root CAسرورهایی که همچنان از Root Certificateهای Self-Signed مبتنی بر SHA-1 استفاده میکنند)
بنابر اعلام مایکروسافت، ممنوعیت اخیر در IE و Edge برای استفاده از SHA-1 تنها بر Certificateهایی که Root Certificate آنها در Microsoft Trusted Root Program وجود دارد، اعمال میشود.
Certificateهای سازمانی و Self-Signed که با استفاده از این الگوریتم صادر شدهاند، فعلا تحت تاثیر این سیاست قرار نخواهند گرفت. اما لازم به ذکر است که مایکروسافت درنظر دارد تا در آینده SHA-1 را از تمام کاربردهای آن در ویندوز حذف نماید.