La Fondazione Mozilla si prepara ad anticipare i tempi per l’abbandono di SHA-1, algoritmo di hashing ritenuto non più sufficientemente sicuro per la cifratura dei dati ma che tuttavia è ancora diffusamente utilizzato da numerosi siti Internet e servizi Web per i certificati crittografici alla base delle comunicazioni sicure (HTTPS).
Col tempo le probabilità di crackare SHA-1, facendo uso di dispositivi informatici sempre più potenti dal punto di vista dell'elaborazione o dei servizi Cloud con l’“affitto” delle risorse di calcolo necessarie, si sarebbe fatta sempre più reale e i ricercatori di sicurezza continuano a lanciare allarmi in tal senso.
I piani iniziali di Mozilla prevedevano l’abbandono definitivo del supporto ai certificati SHA-1 a partire dal 2017, ma ora la fondazione del Panda Rosso sosterrebbe di essere pronta ad anticipare questa data di sei mesi al primo luglio 2016.
A partire da tale appuntamento, o dal 1° gennaio 2017 nel caso in cui la fondazione decidesse di seguire i piani originari, Firefox non sarà più in grado di visualizzare un pagina Web protetta da un certificato SHA-1. Il problema, stima Netcraft, non sarebbe di poco conto e riguarderebbe ancora oggi oltre un milione di siti Web che usano HTTPS.
Via | Mozilla Security Blog