Aggiornamento dei certificati ssl, SHA-1 ed effetti su server e client

Nelle scorse settimane i grandi vendor e produttori di browser (leggi Google, Microsoft, Firefox, Opera ) stanno affrontando il problema di dover smettere di accettare certificati ssl firmati con l’algoritmo SHA-1.
sha1_certificati_crittografia
Questo algoritmo che dovrebbe infatti garantire l’autenticita’ della fonte a cui si e’ connessi non e’ piu’ ritenuto sicuro. Alcuni ricercatori sono riusciti a produrre delle “collisioni” e pertanto costruire la possibilita’ di falsificare l’autenticita’ di siti web apparentemente protetti dal “lucchetto verde” e dal sigillo “Connessione Sicura”  (approfondire su argomento SHA1 collisioni, Boomerang Attack).
L’effetto e’ a catena e spinge a un nuovo ricambio generazionale di hardware e software: i vendor decidono di NON accettare piu’ i certificati firmati SHA-1 attraverso i loro browser aggiornati, i grandi utilizzatori (leggi in particolare le Banche) vengono contattati dai loro utenti che rilevano la connessione come “NON sicura”.
lucchetto_rossoI fornitori di servizi “necessariamente sicuri” sono percio’ costretti a sostituire i certificati vecchi con certificati nuovi. I nuovi certificati NON funzionano con i vecchi sistemi operativi e browser (leggi Win XP e Internet Explorer). Gli utenti con vecchi sistemi sono costretti ad aggiornare i loro sistemi.
I gestori di server che usano certificati ssl per proteggere i dati in transito e garantire l’autenticità del proprio sito dovranno a breve aggiornare i certificati o installare la versione SHA256 dei certificati intermedi, pena la segnalazione agli utenti di connessioni “non protette”.