Comodo Brasil - Certificados SSL - www.comodobr.com
Alguma dúvida?
DuvidaSaiba como falar
com os nossos
atendentes
.
SetaSaiba mais
Perdeu o seu Duvidacertificado?
Solicite aqui a sua reposição gratuita.
SetaClique aqui
Renove seu Certificado
RenovaçãoSaiba como renovar o seu certificado.
SetaSaiba mais

Google pretende extinguir certificados
SHA-1

Em 19 de agosto, a Google anunciou uma nova política que antecipa a extinção dos certificados SHA-1, fazendo com que sites que utilizem certificados SHA-1 apresentem alertas de segurança no futuro próximo. Seguindo a declaração da Microsoft de que aceitará certificados SHA-1 com expiração anterior a 1 de janeiro de 2017, a política da Google implicará em novos alertas de “não confiável” para esses certificados a partir de novembro de 2014.

A partir do lançamento do Chrome 39, que deverá estar estável até novembro, e depois do Chrome 40 e 41 até o início de 2015, sites que utilizem certificados SHA-1 exibirão os seguintes alertas de “não confiável”:

  • Chrome 39 – a partir de novembro de 2014

    • Certificados SHA-1 que expirem a partir de 1 de janeiro de 2017 exibirão alerta de triângulo amarelo, indicando que o site, segundo o Google, é “seguro, mas contém erros”

  • Chrome 40 – a partir de dezembro de 2014

    • Certificados SHA-1 que expirem entre 1 de junho de 2016 e 31 de dezembro de 2016 exibirão alerta de triângulo amarelo

    • Certificados SHA-1 que expirem após 1 de janeiro de 2017 exibirão alerta de neutro (“https” fica cinza em vez de verde, indicando que o site, segundo o Google, é “neutro, pouca segurança”)

  • Chrome 41 – primeiro trimestre de 2015

    • Certificados SHA-1 que expirem entre 1 de janeiro de 2016 e 31 de dezembro de 2016 exibirão alerta de triângulo amarelo

    • Certificados SHA-1 que expirem a partir de 1 de janeiro de 2017 exibirão o “https” riscado em vermelho, indicando que o site, segundo o Google, é “positivamente sem segurança”

Uma explicação detalhada dos planos da Google e downgrades de interface do usuário está disponível no Chromium Blog.

Ainda que o Conselho de Segurança das ACs (CA Security Council - CASC), composto pelas sete maiores Autoridades Certificadoras, suporte a migração para SHA-2, seus integrantes estão preocupados com o impacto tanto nos usuários quanto nos administradores de sites. Considerando que muitos usuários podem ainda utilizar softwares e dispositivos (como celulares mais antigos) que não suportem SHA-2, aliado ao impacto ainda desconhecido de uma migração completa do SHA-1, esse cronograma de 12 semanas é agressivo. Além de provocar confusão nos usuários com os alertas de “não confiável”, tais mudanças podem fazer com que muitos desenvolvedores de sites ou arrisquem exibir os alertas de “não confiável” ou tentem, de última hora, fazer upgrades não planejados e possivelmente de alto custo que pretendiam só fazer em 2015 ou depois.

Com a temporada de compras se aproximando, esta política pode ser especialmente preocupante para as pequenas lojas virtuais, que podem vir a ser afetadas logo antes do Natal e talvez não tenham como fazer a transição até janeiro por não terem suporte a SHA-2. Ainda que a mudança para SHA-2 se faça necessária devido aos constantes avanços da informática, o impacto significativo da migração e a ausência de um ataque prático que se conheça atualmente fazem com que as ACs integrantes do CASC recomendem que os tratamentos de IU sejam consistentes com o cronograma anunciado pela Microsoft em novembro de 2013. Esse cronograma extingue o SHA-1 em certificados de Code Signing até 1 de janeiro de 2016 e em certificados SSL até 1 de janeiro de 2017.

Para evitar os alertas, o CASC recomenda que todos os desenvolvedores adiantem a transição para SHA-2 o máximo que puderem. Todas as grandes Autoridades Certificadoras já suportam a emissão com algoritmo SHA-2 e são capazes de atender à demanda dos administratores que já puderem fazer a transição. Outra opção para quem não consegue migrar ainda é garantir que nenhum de seus certificados SHA-1 tenha data de expiração após 31 de dezembro de 2015 ou até antes. Isso evitará os alertas nos navegadores e dará aos desenvolvedores um ano para fazer a transição.

O CASC continua pressionando a Google para considerar a situação dos desenvolvedores de sites e ajustar a implementação de sua política de extinção de SHA-1 para coincidir com a data de 1 de janeiro de 2017 da Microsoft, mas a Google não divulgou qualquer mudança nesse sentido nas últimas semanas. As ACs integrantes do CASC mantêm seu compromisso a ajudar seus clientes a fazer a transição completa para SHA-2 conforme necessário ao funcionamento da empresa.

Leitura adicional

Transição para o algoritmo de hash SHA-2
https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/

 

Entre em contato com nosso suporte para tirar dúvidas técnicas ou de instalação:

Atendimento online
Utilize os links no topo desta página

Email
suporte@comodobr.com

Telefones:

(21) 3527-0171  /  (11) 3136-0536  / (11) 4063-7724 /  (31) 4062-7422  /  (41) 4063-8177

Política de Reposição:
Se houver algum erro no seu CSR ou na instalação do seu certificado, clique aqui para solicitar a reposição do seu certificado ou entre envie um e-mail com a CSR nova e o número do pedido para validacao@comodobr.com. Lembre-se de que apenas fazemos o reembolso de certificados até 30 dias após a emissão.

WebTrust WebTrust EVSite Seguro