Teknologiframskritt har gjort at det for en hel del aktører vil være økonomisk overkommelig å utføre angrep mot hash-algoritmen SHA-1. Dette har fått flere aktører til å revurdere de ganske utbredte planene om å fase ut støtten for denne teknologien i januar 2017.
Mozilla har allerede innført en gradvis utfasing av støtten for SHA-1-signerte sertifikater ved å vise utviklere advarsler i Web Console-verktøyet i Firefox. Dette skulle trappes opp fram mot 2017 med advarsler til brukerne om upålitelige forbindelser.
Dette gjelder også dersom det bare er det mellomliggende («intermediate») sertifikatet som er signert med SHA-1. Hele kjeden må være pålitelig.
Les også: Varsku mot «onde» SSL-sertifikater
Framskyndes
Men i for et par uker siden kunngjorde Mozilla at denne tidsplanen kanskje ikke er tilstrekkelig. Det opplyses at stiftelsen nå vurderer å framskynde sluttdatoen til 1. juli 2016. I så fall vil Firefox og andre Mozilla-produkter fullstendig avvise SHA-1-sertifikater.
Nå vurderer også Microsoft å gjøre det samme. Også dette selskapet har i utgangspunktet planlagt å blokkere SHA-1-signerte SSL/TLS-sertifikater i Windows fra 1. januar 2017. Dette omfatter også Microsofts nettlesere.
Men nå vurderer selskapet å fase ut støtten SHA-1-sertifikater allerede i juni 2016. I så fall vil ikke Windows Server og Windows 7 og nyere lenger anse kode signert med SHA-1-sertifikater som pålitelig.
GPU-klynge: Knekker passord i nettskyen
Samarbeid
Microsoft antyder at det hele vil gjøres i et koordinert samarbeid med andre nettleserleverandører.
Som digi.no tidligere har skrevet, er det fortsatt mange nettsteder og andre tjenester som benytter SHA-1-baserte sertifikater, selv om det lenge har vært klart at framtiden til SHA-1 har vært høyst usikker.
