Обновление SSL сертификата: переход от SHA-1 к SHA-256

Обзор новостей от сообщества LastPass:

В нашей постоянной попытке предоставить максимальную безопасность пользователей LastPass , наш SSL сертификат для LastPass.com будет изменен сегодня вечером с сертификата SHA-1 на сертификат SHA-256. Наш по-прежнему останется Сертификат с расширенной проверкой Thawte (EV).

Почему сейчас? Мы начали этот процесс в прошлом году, но из-за продолжающего использования старых версий XP, мы приостановили наши попытки . Теперь, когда Google и другие активно предлагают SHA-256, мы уверены, что можем поменять сертификат с минимальным влиянием на наше сообщество.

Все изменения произойдут незаметно, поэтому для пользователей LastPass не должно возникнуть никаких проблем или трудностей в использовании сервиса. Замечания или вопросы? Пожалуйста, дайте нам знать в комментариях ниже или свяжитесь с нашей службой поддержки.

Что такое SHA?

Вам интересно, о чем идет речь?

Вы знаете, что нужно проверять наличие иконки с “замком” и HTTPS в начале ссылки веб-сайта. Эти детали определяют, что Вы используете безопасное соединение при входе на веб-сайт. Это безопасное соединение создается с помощью SSL сертификата (который определяется буквой “S” в HTTPS). SSL сертификат, назначаемый Центром сертификации (CA), шифрует Ваше соединение и проверяет, что Вы зашли на реальный веб-сайт.

Центр сертификации сжимает сертификат, пропуская его через односторонний алгоритм, затем криптографично “отмечает” эту сжатую версию сертификата. Многие веб-сайты, которые используют SSL, пользуются SHA алгоритмом для создания хэша, при этом SHA-1 является наиболее распространенным. Односторонние хэши уникальны для сертификата каждого отдельного веб-сайта. Когда Ваш браузер оценивает сертификат веб-сайта, он самостоятельно высчитывает хэш SHA-1, затем сравнивает его с отмеченным хэшом, который предлагается веб-сайтом для проверки. Если они совпадают, браузер показывает зеленый свет, и Вы узнаете, что Ваша информация находится в безопасности.

Проблема заключается в том, что SHA-1 теперь не такой сильный, каким был раньше. Теперь, когда компьютеры работают быстрее и стоят дешевле, увеличивается риск того, что атакующие смогут подделать сертификат и обмануть браузер так, что он будет думать, что подключается в правильному веб-сайту.

Продавцы на сегодняшний день переходят к более сильному алгоритму нового поколения SHA-2 для повышения безопасности и защиты от атак. SHA-2 создает более длинные хэши и на данный момент является более стойким к атакам, к которым уязвим SHA-1. Если Вы используете Chrome, Вы возможно уже начали видеть предупреждение о сертификатах в виде желтых значка замка, что является частью попытки Google отменить использование сертификатов SHA-1 и перевести веб-сообщество на SHA-2.

В конце концов, переход не повлияет на Ваш опыт как пользователя LastPass, но поддержит нашу миссию хранить Ваши данные в безопасности наряду с развитием веб-среды. Этот тот же LastPass, но с даже лучшей безопасностью.

 

Благодарим за понимание,

Команда разработчиков LastPass