CA / Browser Forum, skupina ovlaštenih certifikata i izrađivači preglednika koji postavlja smjernice za izdavanje i korištenje digitalnih certifikata, ranije je odlučilo da nove certifikate potpisane s SHA-1 ne bi trebale biti izdane nakon 1. siječnja 2016.

[Više čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

U utorak je Mozilla objavio da ponovno procjenjuje t on prekida datum i razmatra izvedivost guranja naprijed za šest mjeseci, 1. srpnja 2016. Odluka je vođena nedavnim istraživanjima koja poboljšavaju praktičnost napada na SHA-1.

Ranije ovog mjeseca Thomas Peyrin iz Nanyanga

Istraživači su objavili istraživački rad koji opisuje novi način da se razbije SHA-1. procjenjuju da će povlačenje napada, koji prekida punih 80 krugova SHA-1, koštati između 75.000 i 120.000 USD koristeći reklamne resurse za računanje oblaka, cijena koju mnoge cyberkrižene skupine mogu priuštiti. Iako se njihov pojedini napad ne može upotrijebiti za krivotvorenje SSL certifikata, jasno pokazuje da se praktičnost razbijanja SHA-1 potpisa povećava mnogo bržim tempom nego što je prethodno bilo predviđeno. "Savjetujemo industriji da ne igra sa vatrom, i ubrzati migracijski proces prema SHA2 i SHA3, prije nego što takvi dramatični napadi postanu izvedivi ", izjavio je Thomas Peyrin IDG News Serviceu ranije ovog mjeseca.

Čini se da industrija sluša. Nakon objavljivanja istraživanja, CA / Browser Forum povukao je prijedlog Symanteca i potvrdio tvrtku Entrust, Microsoft i Trend Micro kako bi omogućio izdavanje SHA-1 certifikata tijekom 2016. godine kako bi se smjestio "vrlo mali broj vrlo velikih poduzeća kupaca "koji do kraja ove godine ne mogu dovršiti prijelaz na SHA-2 certifikate.

Prema internetskim uslugama tvrtke Netcraft, na Internetu je još uvijek u uporabi gotovo milijun SSL certifikata SHA-1, od čega 120.000 u 2015. i 3.900 s datumima isteka prije 1. siječnja 2017. Prema statistikama SSL Pulse projekta, 24 posto svjetskih 143.000 HTTPS web stranica pomoću prometa upotrebljava SHA-1 certifikate.

Google Chrome već prikazuje različite veze sigurnosni pokazatelji za HTTPS web stranice koje koriste certifikate SHA-1, a ne za one koji koriste certifikate SHA-2 kako bi potaknuli migraciju daleko od starenja hash funkcije.

Webmasteri koji su u pitanju o troškovima zamjene njihovih certifikata uskoro će imati besplatnu alternativu. Neprofitna organizacija za izdavanje certifikata pod nazivom "Let's Encrypt" pokrenut će se u studenom i objavila je u ponedjeljak da su njegovi certifikati za korijenje potpisani od IdenTrusta, a svi glavni preglednici sada vjeruju.