大限将至 三大主流网页浏览器加快抛弃SHA

现在播报一条可能和所有人相关的安全快讯，继Google在上个月采取行动之后，微软发布博文宣告，从2017年2月14日起，Edge浏览器将不再信任采用SHA-1算法加密的证书；与此同时另一大浏览器提供商Mozilla也表示，Firefox将在明年春天完全取消对SHA-1证书的支持。被三大主流浏览器所抛弃，这意味着这个取代了MD5的加密算法要加速退役了。

当你浏览一个“安全”的网页的时候，你是否注意到在地址栏里的小锁？这是一颗给在互联网惊涛骇浪里颠簸的个人的定心丸——安全证书，https通信，加密算法等等这些要素的组合在时刻尽自己的努力保护着我们的信息安全。

证书宣称的安全是用户看到的表面，加密算法是其下面的核心。所以，谁颁发的安全证书？这个证书基于什么算法？这些其实都是浏览器在加载一个https打头的网址之前进行判断的，如果它们认为为网站提供证书，担保安全的证书商可信，证书的加密算法也具有安全效力，便会直接放行，要是它们认为两者之间的任何一个不可信，你会看到下面这样的提示：

伪造安全证书并伪造安全连接，盗取用户信息是针对这类证书的攻击的常见方法，一旦一个算法被黑客攻破，那采用这个算法的证书就无法保证安全了。就SHA-1而言，事实上Google表示早在11年前，这个算法就被发现有漏洞，随着计算能力的快速增长，破解它也变得更加容易。但由于很长时间内缺乏更合适的替代者，所以SHA-1一直服役到了现在，期间还确实引发了Dropbox用户信息泄漏这样的安全事件，更加让人担心的是SHA-1证书近年来还被Wosign和Startcom这样的证书商签出了不少，留下了很多安全隐患。

不提Wosign自身的问题，SHA-1的确在越来越险恶的环境里面显得愈发脆弱，这是主流网页浏览器提供方决定提早终止信任的原因，毕竟网页浏览器是用户与互联网连接的一个重要通道，这个通道的安全，总要有人负起责任来。