Переход с SHA-1 на SHA2 из-за уязвимости в Unix/Linux
Стало известно что сайты с поддержкой SHA-1 алгоритма — уязвимы к атаке, которую исслeдователи назвали «freestart collision». Атака опирается на коллизии хеш-фукнций, и о том, что подобное вoзможно, еще в 2012 году говорил известный криптограф и писатель Брюс Шнайер (Bruce Schneier). Тем немее существующие сертификаты с SHA-1 по-прежнему доверяют современные браузеры и операционные системы. Как правило, они будут удаления с поддержки с 1 января 2017 года. Но если люди заказали сертификат 31 декабря 2015 аж на 39 месяцев, то можно будет видеть что он истечет аж 2019.
Проверка SHA
Т.к SHA-1 — уязвим, то проверим не уязвим сайт, самый быстрый способ — это заюзать онлайн чекер:
URL: https://shaaaaaaaaaaaaa.com/
Так же, вот некоторые подобные сайты:
- https://www.sha2sslchecker.com
- https://geekflare.com/ssl-test-certificate/
- http://sha1affected.com/
- https://shachecker.com/
Но я воспользуюсь командной строкой и получу всю информацию через нее:
# openssl s_client -connect linux-notes.org:443 < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm" Signature Algorithm: sha256WithRSAEncryption Signature Algorithm: sha256WithRSAEncryption
Видим что у меня используется SHA256 — это защищенный алгоритм и мне ничего не нужно делать, но если у вас просто «sha*», то нужно от него избавляться и переходить на SHA-2 сертификат используя OpenSSL утилиту:
# openssl req -new -sha256 -key some_domain_name.key -out some_domain_name.csr
Так же, можно воспользоваться и онлайн генератором сертификата:
URL: https://certificatesssl.com/ssl-tools/csr-generator.html
Вот и все, статья «Переход с SHA-1 на SHA2 из-за уязвимости в Unix/Linux» завершена.