20% website vẫn sử dụng chứng chỉ không an toàn SHA-1

(13/03/2017)
Việc cấp phát chứng chỉ SHA – 1 đã được chuyển sang SHA – 2. Tuy nhiên đến nay, cứ 5 website thì có 1 website vẫn sử dụng loại chứng chỉ không an toàn này.

Theo phân tích của hãng bảo mật Venafi, trong khi hầu hết các cơ quan chứng thực (CA) đã không còn cấp phát chứng chỉ sử dụng SHA-1 trong suốt 2 tháng nay thì hiện cứ 5 website vẫn còn 1 website sử dụng SHA - 1.

Cụ thể, từ ngày 01/01/2017, không chỉ CA đã chuyển sang loại chứng chỉ an toàn hơn là SHA - 2 mà các trình duyệt lớn như Google, Microsoft và Mozilla đã quyết định chấp nhận sự thay đổi này. Các trình duyệt của họ không còn sử dụng chứng chỉ SHA – 1 nữa. Thậm chí Facebook đã công bố kế hoạch dừng chứng chỉ SHA - 1.

Dựa trên kết quả phân tích hơn 33 triệu trang web IPv4 công khai, Venafi cho biết, một số nhà quản trị web vẫn còn khá chậm trễ trong việc chuyển đổi, 21% trang web vẫn còn sử dụng chứng chỉ SHA – 1 không an toàn này. Tuy nhiên, mọi thứ cũng đang tiến triển tốt hơn so với mùa thu năm ngoái, khi mà có tới 35% website sử dụng SHA – 1.

Từ lâu, SHA - 1 đã được cho là dễ bị tấn công. Tuy nhiên, điều đáng ngạc nhiên là các nhà quản trị web đã không chuyển sang SHA - 2 hoặc SHA - 3 sớm hơn. Có nghi ngờ rằng họ cố ý đặt các trang web của họ rơi vào nguy hiểm.

Nhà nghiên cứu Shelley Boose của Venafi cho biết: “Tôi nghi ngờ rằng một số tổ chức có thể đơn giản không hiểu rằng họ vẫn có các chứng chỉ  SHA – 1 trên mạng của họ vì họ dựa vào các công cụ chứng thực số để quản lý chứng thực và khóa. Vấn đề ở đây là hiện nay các chứng thực miễn phí và có chi phí rất thấp này đang được sử dụng rộng rãi, bất cứ ai trong tổ chức cũng có thể sử dụng một chứng thực với các thuật toán băm yếu và và cài đặt nó trong mạng của bạn”.

Venafi lưu ý rằng, ngoài việc khiến cả trang web và người dùng của họ dễ bị tấn công, việc tiếp tục sử dụng SHA - 1 cũng có thể làm gián đoạn trải nghiệm duyệt web vì các trình duyệt web sẽ hiển thị các cảnh báo khi gặp các trang không an toàn để nhắc nhở người dùng tìm kiếm các lựa chọn thay thế. Khóa màu xanh lá cây mà các trình duyệt hiển thị là để đánh dấu các giao dịch HTTPS không còn được liên kết với các trang web sử dụng SHA - 1 và các vấn đề về hiệu năng cũng có thể làm thay đổi trải nghiệm của người dùng.

Theo ictvietnam


Tin khác