L’algoritmo per l’hashing crittografico SHA-1 è oramai quasi prossimo al pensionamento, e ora anche Google ha annunciato l’intenzione di anticipare al 2016 il tempo in cui i suoi browser non integreranno più la tecnologia sulle piattaforme supportate.
Gli hash calcolati con SHA-1 sono sempre più insicuri, dicono i ricercatori, soprattutto a causa della disponibilità di hardware o servizi cloud sempre più performanti con cui poter tentare il cracking dell’algoritmo. Le aziende di rete prevedevano inizialmente di abbandonare l’algoritmo in favore del più sicuro SHA-2 nel 2018, poi la data è stata spostata indietro di un anno e infine nel 2016.
Nell’estate dell’anno prossimo sia Mozilla che Microsoft disabiliteranno in via definitiva il supporto di SHA-1, e Google seguirà a ruota con il suo Chrome. L’abbandono dell’algoritmo creato da NSA nel lontano 1995 dovrebbe avere ripercussioni positive sul fronte della sicurezza online, ma non tutti sono entusiasti della scelta dei tre principali produttori di browser Web.
Sia Facebook che Cloudflare tendono infatti a frenare l’entusiasmo che accompagna l’ennesimo diktat dell’update forzato dispensato da Mozilla, Microsoft e Google, perché da luglio 2016 un gran numero di utenti (37 milioni, nei calcoli di Cloudflare) si troverà impossibilitato ad accedere ai servizi di rete che ancora fanno uso di SHA-1.
La soluzione, ipotizzano il social network e l’azienda di CDN, consisterebbe nell’implementazione della retrocompatibilità per i certificati crittografici, con la possibilità di usare quelli con hash SHA-1 nel caso in cui la scelta di default (SHA-2) non risulti compatibile con il browser in uso.
Alfonso Maruccia