به دارندگان وبسایتها توصیه میشود تا Certificate های SSL با کلیدهای 1024 بیتی را با Certificateهای دارای کلید 2048 بیتی جایگزین نمایند.
صاحبان وبسایتها باید درنظر داشته باشند که در آیندهای نزدیک، آن دسته از Certificate هایی که دارای Root CAهای قدیمی با کلیدهای 1024 بیتی میباشند، در برخی از محصولات Mozilla از جمله مرورگر پرطرفدار Firefox نامعتبر اعلام خواهند شد.
این اقدام به عنوان بخشی از تلاشهای این شرکت در طی یک سال گذشته جهت اِعمال فشار به شرکتهای صادرکنندهی (Certificate (CA ها و مشتریان آنها برای توقف استفاده از Certificate های 1024 بیتی صورت میگیرد؛ لازم به ذکر است که نگرانیهای برانگیخته شده از عدم امنیت رمزنگاری در Certificate های ذکرشده را باید پیشرفتهای صورتگرفته در توان محاسباتی دانست.
تیم امنیت شرکت Mozilla اخیرا اعلام نمود: این تغییرات به شرط آنکه Certificate های مربوط به سایت و Certificateهای صادرشده برای Root CAها از کلیدهای 2048 بیتی یا بالاتر استفاده نمایند، تاثیری بر مدیران وبسایتهای مبتنی بر SSL نخواهد داشت؛ اما در صورتیکه SSL Certificate دارای کلید 1024 بیتی بوده و یا از سوی یک CA سرور که دارای Certificate با کلید 1024 بیتی بوده صادر شده باشد، دریافت SSL Certificate جدید و بهروزرسانی Certificateهای ضرورت مییابد.
همچنین Certificateهای 2048 بیتی که از Intermediate CA Certificateهای دارای کلیدهای 1024 بیتی برای تایید اعتبار خود استفاده میکنند، در صورتی که بر روی وب سرورها Intermediate Certificateها را به Certificateهای دارای کلید 2048 بیتی بهروزرسانی نکنند، تحت تاثیر شرایط جدید قرار خواهند گرفت.
لازم به ذکر است که هر شرکت صادرکننده Certificate از یک یا چند Root Certificate برای صدور Certificateهای SSL استفاده میکند که به منظور تایید اعتبار Certificateهای SSL در وبسایتها به کار گرفته شده و بر طبق چند توافقنامهی اصولی در تعدادی از سیستمعاملها، مرورگرهای متداول و برخی محصولات دیگر ارائه میگردند.
Mozilla درحالحاضر در نسخهی بتای Firefox 36، 5 مورد از Certificateهای دارای کلید 1024 بیتی که متعلق به شرکتهای Verizon و Symantec بود را حذف نموده است. Certificateهایی که در لیست حذف قرار دارند شامل GTE CyberTrust Global Root ، Thawte Server CA ، Thawte Premium Server CA، Class 3 Public Primary Certification Authority – G2 و Equifax Secure eBusiness CA-1 میگردد.
این سیاستگذاری به معنای آن است که Firefox 36 و نسخههای بعدی آن از این پس Certificateهای SSL را که توسط هریک از این Root CAها ایجاد شده باشد ناامن دانسته و هنگام مواجهه با این Certificateها پیامی مبنی بر عدم امنیت سایت مورد بازدید میدهد.
Mozilla در یک سال گذشته نیز اقدام به حذف هشت Certificate CA با کلید 1024 بیتی درFirefox 32 نمودهاست که به Entrust، SECOM، GoDaddy، EMC/RSA، VeriSign (درحالحاضر Symantec) و NetLock تعلق داشتهاند.
انتظار میرود که مرحلهی سوم و نهایی این روند نیز در نیمهی اول امسال انجام گرفته و منجر به حذف دو Equifax Root Certificate دیگر از Symantec گردد. با این حال گزارش اخیر سیستم Bug Tracking شرکت Mozilla از کاربرد وسیع یکی از این دو Certificate حکایت دارد.