从SHA-1证书禁令的Mozilla豁免过时的付款终端
禁令生效后不到两个月的新SSL / TLS证书签署了弱SHA-1散列算法,豁免已经开始塑造。
Mozilla周三宣布,它将允许运营世界上最大的证书当局之一的赛门铁克,向客户发出九个新的这些证书,以便容纳超过10,000个支付终端,该终端已经及时升级。
根据Mozilla安全策略邮件列表的讨论,WorldPay是一个大型支付处理器,无法将其一些SSL / TLS服务器迁移到SHA-2证书。由于监督,该公司在2015年12月31日之前,该公司也没有为这些服务器获得新的SHA-1证书,仍然允许这样做。
SHA-1是一个老化散列算法,是在进行逐步淘汰的过程中,因为它是可能导致伪造数字证书的攻击的攻击,并且在有人获得这种能力之前,它只是时间问题。
因此,CA /浏览器论坛,一组证书颁发机构和浏览器制造商,为发行和使用数字证书而设定了指导方针,决定在2016年1月1日之后不得颁发新的SHA-1签署的证书。在该日期之前发布的SHA-1证书将继续通过浏览器信任,直到他们到期或直到2017年1月1日,以先到者为准。
由于这些CA行业规则,因为它错过了截止日期,WorldPay发现自己无法替换当前存在于某些服务器上的SHA-1证书,并将其设定为2月28日到期。
问题是,有超过10,000多个支付终端,这些支付终端在世界各地使用,需要与受影响的服务器进行通信,以便处理事务。这些终端不支持与更新和更安全的SHA-2算法签名的证书,并且不能及时更换。
WorldPay现已接近赛门铁克,并要求新的SHA-1证书请求,但赛门铁克需要从CA / B论坛获得豁免,以便在1月1日期截止日期后发出此类证书。否则,它的风险具有由浏览器和操作系统供应商不信任的根本证书,以违反行业已接受的规则。
经过一天的讨论后,Mozilla同意允许赛门铁克向WorldPay发出所需的证书,但在某些条件下,如将其寿命限制为90天,并在证书透明日志中发布它们。
“这项授权意味着赛门铁克可以发布SHA-1证书,使WorldPay的设备能够保持较长的时间,并且莫扎拉的销售将被视为缺陷,”Mozilla的Firefox安全领导者Ricefox Security Lead说:星期三博客。“该决定仅影响Mozilla根计划;其他根计划仍可能考虑发布这些证书是误解的。”
这意味着Symantec还需要询问其他受信任的根证书计划的维护者,如Microsoft和Apple,以获取许可。
如果它获得了前进,这将建立先例,其他公司可能会要求豁免。Mozilla承认,如果这些请求至少在新证书的预期发行日期前至少两周考虑案例,则愿意考虑类似的请求。
“我们了解到,除了世界穷国之外的付款处理组织继续对SHA-1具有类似的要求 - 无论是在网络PKI [公钥基础设施]中或外部之外,那么Barnes表示。“这些组织正在令人失望的是,通过使用弱者过时的安全技术将公众的数据以风险为风险。我们鼓励组织在网上PKI中继续需要SHA-1,以尽快出现,并尽可能详细地提供他们的过渡到SHA-2的计划。“
这不是第一个,可能赢得了浏览器制造商必须在互联网上退回SHA-1证书的计划。
1月份,Mozilla被迫撤消它在Firefox中制造的变更,以禁止1月1日之后发布的所有SHA-1证书。事实证明,执行中间人SSL / TLS流量检查的一些安全设备正在使用自签名的SHA-1证书。由于禁止,使用此类设备的网络上的Firefox用户突然无法访问任何HTTPS网站。
同时,Facebook和CloudFlare正在推动创建新类的SHA-1签名证书,即HTTPS网站只能使用不支持SHA-2证书的传统浏览器和移动客户端使用。