SSL证书更新:从SHA-1转换到SHA-256

By April 13, 2015 未分类 No Comments

致LastPass社区的新闻公告:

由于我们在为LastPass用户提供最佳安全性方面的不断努力, 我们用于LastPass.com的SSL证书将在今晚从SHA-1证书转换到SHA-256证书. 我们将继续是Thawte扩展验证证书(EV).

为什么是现在呢?我们去年开始了这一进程, 但由于老版本XP的继续使用,我们的努力陷入了停滞状态. 现在,谷歌和其它公司 正积极推动SHA-256, 我们相信,我们可以在对我们社区造成最小影响的情况下实现过渡.

所有的改变都是在幕后发生, 因此,LastPass用户不会遇到任何问题或服务中断. 要报告或者有疑虑?请在下面的评论中让我们知道,或者 与我们的支持团队联系.

SHA-什么?

想知道烦忧什么吗?

您知道要寻找“锁”图标和在网站URL的开始处的HTTPS. 这些细节表明,您是在一个网站的安全连接上. 安全连接由SSL证书(将“S”借给HTTPS)创建. SSL证书, 是由证书颁发机构(CA)颁发, 使您的连接加密,并验证您已经连接到真正的网站.

CA是通过经由单向哈希算法运行它, 然后加密性地对证书的凝缩版“签名”来对证书进行凝缩. 绝大多数使用SSL的网站使用SHA算法来创建哈希散列, SHA-1是使用最广泛的. 单向哈希对每一个网站的证书都是唯一的. 当您的浏览器在评估一个网站的证书时, 它自己计算SHA-1哈希散列, 然后与网站提供的、作为验证的签名哈希散列进行比较. 如果匹配, 浏览器就提供绿色光,您知道您的信息是安全的.

问题是,SHA-1没有先前那么强了. 现在,电脑更快,也更便宜, 风险正在增加,攻击者可以伪造证书和欺骗浏览器,使其以为它是在连接到正确的网站上.

厂商现在正在转换到更强的下一代算法SHA-2,以提高安全性和防止攻击. SHA-2生成更长的哈希散列,目前能够抵御SHA-1防御不了的攻击. 如果您使用Chrome, 您可能已经开始看到带有黄色锁图标的证书警告, 这是谷歌的努力的一部分,以结束SHA-1证书和用SHA-2推行网络向前发展.

在一天结束时, 过渡不会影响您作为LastPass用户的体验, 却将进一步强化我们的使命,让您的数据随着网络的发展而安全. 是同一家LastPass, 却有更好的安全性.

 

感谢您的调整,

LastPass团队