Microsoft har nyligen meddelat sina planer på att överge stöd för TLS-certifikat undertecknade av SHA -1-hash-algoritmen från och med februari 2017. Microsoft erkände vidare att många webbplatser, användare och tredjepartsapplikationer kommer att påverkas hårt när företaget beklagar SHA-1 signerade certifikat.

Från och med den 14 februari 2017 kommer Microsoft Edge och Internet Explorer 11 att förhindra att webbplatser som är skyddade med ett SHA-1-certifikat laddar och visar en ogiltig certifikatvarning. Även om vi starkt avskräcker det, kommer användare att ha möjlighet att ignorera felet och fortsätta till webbplatsen, säger Microsoft i är blogginlägg.

Uppenbarelsen är inte exakt nyheter: företaget antydde lika mycket tillbaka i november.

SHA-1-hashningsalgoritmen, som används för internetsäkerhet i samband med HTTPS-protokollet och certifikaten som används för att skydda webbplatser, har förklarats osäkra och sårbara för attacker från välfinansierade motståndare sedan 2005 men användes till stor del tills SHA -2 och SHA-3-algoritmer som testades för att vara säkrare alternativ för hashfunktioner kom med. Initiativet är inte en ny och funktionen har tidigare fördömts och avvisats av Google och Mozilla för att vara mer benägna att kryptografiska kollisioner än beräknat.

Microsoft har detaljerat att deras webbläsare, Edge och Internet Explorer, nu kommer att förhindra webbplatser som använder SHA-1 signerade certifikat från att ladda och kommer att visa en ”ogiltig certifikat” varning för att återställa säkerheten tillbaka till tjänsterna. Även om användare inte kommer att bli tvungna att hoppa över webbplatserna kommer de att ha möjlighet att kringgå hotet och komma åt den potentiellt sårbara webbplatsen trots varningen, bara utan förtroendeikonen ”Barlock” som användarna ser i adressfältet för sina webbläsare.

Tredjeparts Windows-applikationer som kör Windows kryptografiska API-set Windows SHA-1 eller tidigare versioner av Internet Explorer påverkas inte av dessa ändringar.