Alfonso Maruccia

Mozilla, il piano per eliminare SHA-1

La fondazione del Panda Rosso fornisce nuovi aggiornamenti sul progetto, graduale ma inesorabile, per eliminare completamente il supporto di SHA-1 da Firefox. Avverrà presto, forse anche prima del previsto

Roma - I ricercatori hanno lanciato l'ennesimo allarme sui rischi di insicurezza connessi all'uso degli hash crittografici calcolati tramite algoritmo SHA-1, e Mozilla ha risposto confermando i piani già messi in atto da tempo per l'eliminazione graduale della tecnologia dal browser Firefox.

Delle tre fasi del piano anti-SHA-1, dice Mozilla, gli sviluppatori del browser open source hanno già mosso i primi due psaai: un avviso di sicurezza in merito all'uso dei certificati basati su SHA-1 è stato aggiunto alla Web console in Firefox 38, e con Firefox 43 verrà mostrato un ulteriore avviso di "connessione insicura" con certificati SHA-1 validi dal primo gennaio 2016.

L'ultimo passo è previsto dal primo gennaio 2017, e classificherà tutte le connessioni HTTPS con certificati SHA-1 come insicuri senza distinzioni di sorta. Visti i recenti attacchi contro lo storico algoritmo, però, Mozilla dice di voler valutare un anticipazione della suddetta data di "fine vita" per SHA-1 al primo luglio 2016.
Le iniziative pensate per rafforzare la sicurezza delle comunicazioni HTTPS sono di un certo rilievo per l'utenza di Firefox, visto che Mozilla ha già proposto da tempo (seguendo, come sempre, l'esempio di Google) di abbandonare del tutto il Web non cifrato (HTTP) in favore di quello cifrato.

Microsoft ha già raccomandato da tempo l'abbandono dell'algoritmo di hashing SHA-1, una tecnologia progettata da NSA nel 1995 e che continua a essere utilizzata, secondo i calcoli di Netcraft, da circa un milione di siti Web che si autodefiniscono "sicuri". La notizia positiva è che SHA-2, versione più sicura dello storico algoritmo, ha superato SHA-1 a maggio 2015 e continua a crescere nelle preferenze di admin e aziende.

Tornando a Firefox, l'obiettivo di Mozilla in vista della blindatura del browser open source include anche una novità emersa di recente nella build alpha ("Nightly") del sofware e che riguarda la visualizzazione di una icona "insicura" per le connessioni che trasmettono una password in chiaro (HTTP) invece che su canale cifrato (HTTPS).

Alfonso Maruccia
Notizie collegate
  • SicurezzaMicrosoft: stop alla crittografia vulnerabileRedmond si prepara in anticipo alla futura "apocalisse" degli algoritmi crittografici insicuri annunciando l'abbandono di RC4 e SHA-1. I malware capaci di falsificare i certificati di sicurezza sono già in circolazione da anni
  • SicurezzaGoogle, sicurezza e scivoloniMountain View offre nuove opportunità per mettere in sicurezza le comunicazioni in rete, mentre gli ingegneri propongono misure estreme e radicali a sostegno di HTTPS. Il management dei piani alti, invece, scodella consigli fallaci
  • SicurezzaMozilla e HTTPS, un'offerta che non si può rifiutareLa fondazione americana avvia quella che a suo dire è la transizione irrevocabile da HTTP alle connessioni protette di HTTPS. Tutti, singoli blogger e grandi corporation, dovranno comprare un certificato. O abbandonare Firefox
  • Sicurezza2016: addio a RC4I tre principali protagonisti del mercato dei browser annunciano l'abbandono della storica tecnologia crittografica in circolazione da decenni. Una decisione che dovrebbe migliorare la sicurezza del Web per tutti
  • SicurezzaSHA-1, cresce il rischio di attacchiGli hash crittografici generati con algoritmo SHA-1 sono sempre più a rischio, avvertono i ricercatori: la tecnologia dovrebbe essere abbandonata anche prima dei tempi previsti
  • SicurezzaChrome, meno allarmismi sulle connessioni non cifrateA partire dalla versione 46 del browser, le pagine che hanno proceduto alla transizione a HTTPS ma conservano ancora elementi serviti tramite HTTP smetteranno di essere contrassegnate con il segnale di allarme
10 Commenti alla Notizia Mozilla, il piano per eliminare SHA-1
Ordina
  • Gli esperti del forum si sono pronunciati e ci hanno garantito che l'HASh in questione è ancora inespugnabile

    In Mozilla evidentemente non c'è nessuno all'altezza del forum di PI e hanno voglia di perdere tempo a contare le zampe delle formiche!
    non+autenticato
  • - Scritto da: i tre tuchi
    > Gli esperti del forum si sono pronunciati e ci
    > hanno garantito che l'HASh in questione è ancora
    > inespugnabile

    È ancora inespugnato in effetti, ma ci sono stati elementi che fanno seriamente pensare che possa esserlo a breve-medio termine. Meglio avere margine e accelerare la migrazione, non trova anche lei?
    non+autenticato
  • - Scritto da: S7K

    > È ancora inespugnato in effetti, ma ci sono stati
    > elementi che fanno seriamente pensare che possa
    > esserlo a breve-medio termine. Meglio avere
    > margine e accelerare la migrazione, non trova
    > anche
    > lei?

    Bisognerebbe chiederlo agli espertoni di questo forum che minimizzavano gli attacchi recentemente divulgati.
    Io mi fido solo di loro!
    non+autenticato
  • - Scritto da: hhhh

    > Bisognerebbe chiederlo agli espertoni di questo
    > forum che minimizzavano gli attacchi recentemente
    > divulgati.
    Gli attacchi divulgati purtroppo non coinvolgono i certificati...
    non+autenticato
  • beh gli "esperti" non hanno detto che sia inespugnabile hanno detto che il "rischio" non è nei certificati (tutta un altra cosa).
    A bocca apertaA bocca aperta
    Sopratutto fino a che non c'è alcuna prova del contrario fornita dagli 123 hhh o altri a questo mondo...
    non+autenticato
  • - Scritto da: treppuntihh h123

    > Sopratutto fino a che non c'è alcuna prova del
    > contrario fornita dagli 123 hhh o altri a questo
    > mondo...

    d'altra parte se Tucu non ha i mezzi per andare sulla luna vuol dire che non ci si può proprio andare!
    non+autenticato
  • - Scritto da: capitan tucu

    > d'altra parte se Tucu non ha i mezzi per andare
    > sulla luna vuol dire che non ci si può proprio
    > andare!

    No. Vuol dire che ci possono giusto andare la Nasa, Rka, Cnsa, Esa e Jaxa. A fronte di enormi costi e rischi, tra l'altro. Tutti gli altri si attaccano.

    Bisogna essere realisti e dire le cose come stanno, invece di venirsene fuori con trovate del tipo: "beh dai, teoricamente si sa come andare sulla Luna, e quindi chiunque potrebbe andarci in qualsiasi momento!"
    non+autenticato
  • - Scritto da: capitan tucu


    > d'altra parte se Tucu non ha i mezzi per andare
    > sulla luna vuol dire che non ci si può proprio
    > andare!
    Caro treppuntì sulla luna ci sono andati ma di tampering di certficati x509 grazie alle collisioni dell'hash non ce ne sono...
    Ti pare una differenza da poco?
    Rotola dal ridereRotola dal ridere
    Non solo non ci sono i mezzi non lo ha mai fatto nessuno (neanche NSA)..
    A bocca aperta
    non+autenticato
  • - Scritto da: Passante di Mestre 123

    > Caro treppuntì sulla luna ci sono andati ma di
    > tampering di certficati x509 grazie alle
    > collisioni dell'hash non ce ne
    > sono...
    > Ti pare una differenza da poco?


    eccerto, l'omino paga 10 miliardi di dollari all'anno apposta per farti sapere quando ci riesce Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: tre tuchi in salamoia
    > - Scritto da: Passante di Mestre 123

    > eccerto, l'omino paga 10 miliardi di dollari
    > all'anno apposta per farti sapere quando ci
    > riesce
    > Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Eccerto ci riesce solo perchè lo postuli tu senza provarlo...
    Rotola dal ridereRotola dal ridere
    Datti alle scie chimiche che stai allo stesso livello...
    Rotola dal ridereRotola dal ridere
    non+autenticato