Переход с SHA-1 на SHA2 из-за уязвимости в Unix/Linux

Стало известно что сайты с поддержкой SHA-1 алгоритма — уязвимы к атаке, которую исслeдователи назвали «freestart collision». Атака опирается на коллизии хеш-фукнций, и о том, что подобное вoзможно, еще в 2012 году говорил известный криптограф и писатель Брюс Шнайер (Bruce Schneier). Тем немее существующие сертификаты с SHA-1 по-прежнему доверяют современные браузеры и операционные системы. Как правило, они будут удаления с поддержки с 1 января 2017 года. Но если люди заказали сертификат 31 декабря 2015 аж на 39 месяцев, то можно будет видеть что он истечет аж 2019.

Проверка SHA

Т.к SHA-1 — уязвим, то проверим не уязвим сайт, самый быстрый способ — это заюзать онлайн чекер:

URL: https://shaaaaaaaaaaaaa.com/

Так же, вот некоторые подобные сайты:

• https://www.sha2sslchecker.com
• https://geekflare.com/ssl-test-certificate/
• http://sha1affected.com/
• https://shachecker.com/

Но я воспользуюсь командной строкой и получу всю информацию через нее:

# openssl s_client -connect linux-notes.org:443 < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"
    Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

Видим что у меня используется SHA256 — это защищенный алгоритм и мне ничего не нужно делать, но если у вас просто «sha*», то нужно от него избавляться и переходить на SHA-2 сертификат используя OpenSSL утилиту:

# openssl req -new -sha256 -key some_domain_name.key -out some_domain_name.csr

Так же, можно воспользоваться и онлайн генератором сертификата:

URL: https://certificatesssl.com/ssl-tools/csr-generator.html

Вот и все, статья «Переход с SHA-1 на SHA2 из-за уязвимости в Unix/Linux» завершена.