Você já deve estar cansado de ouvir sobre o SHA-1, já que temos falado sobre a redução do uso desse algoritmo desde 2014! Felizmente, tanto para você quanto para nós, essa será a última vez que falaremos sobre esse algoritmo antigo e ultrapassado, pois, agora, os navegadores estão adotando uma posição final contra o uso do SHA-1.
A partir de agora, você deverá usar o SHA-256 em seus certificados SSL/TLS. Após múltiplos estágios de alertas e redução de suporte ao algoritmo, os três principais navegadores – Google, Mozilla e Microsoft – anunciaram planos de parar completamente o suporte ao SHA-1. Nesse caso, “parar o suporte” = mensagens de alerta ou completo bloqueio do acesso ao seu website.
Planos dos Navegadores para Acabar com o Suporte ao SHA-1
Google Chrome
Na semana passada, a Google anunciou o fim do suporte ao SHA-1. Começando com o Chrome 56, que será lançado no final de janeiro de 2017, TODOS os certificados SSL/TLS SHA-1 emitidos sob raízes publicamente confiáveis não serão mais confiáveis.
Exemplo de erro que os visitantes verão, quando acessarem um site com SHA-1 no Chrome. (Fonte: Google)
Mozilla Firefox
Em outubro, o Mozilla anunciou que o Firefox exibirá um erro de “Conexão Não Confiável”, quando você tentar navegar em algum site que esteja usando o SHA-1. Essa política será incluída no Firefox 51, que será lançado no final de janeiro de 2017.
Exemplo de erro que os visitantes verão, quando acessarem um site com SHA-1 no Firefox. (Fonte: Mozilla)
Microsoft Edge e Internet Explorer
De acordo com o anúncio feito no início desse mês, a partir de 14 de fevereiro de 2017, a Microsoft Edge e Internet Explorer 11 mostrarão um aviso de “certificado inválido” para sites usando SHA-1 e evitarão o seu carregamento.
Exemplo de erro que os visitantes verão, quando acessarem um site com SHA-1 no Edge ou IE11. (Fonte: Microsoft)
Como localizar os certificados SHA-1 em uso?
Se você não tem certeza se os seus certificados estão ou não assinados com SHA-1, ou está preocupado em esquecer de algum certificado no processo de migração para o SHA-2, veja algumas dicas a seguir.
Para clientes GlobalSign – Acesse sua conta para gerar um relatório
Se você é um de nossos clientes, a forma mais fácil de encontrar todos os certificados SHA-1 presentes e utilizados por sua empresa, é gerar um relatório a partir de sua conta. Você poderá gerar uma lista de certificados, clicando no menu ‘Search Order History’ e, a partir disso, filtrar as opções por algoritmo utilizado. Essa lista também pode ser facilmente exportada em formato .csv caso você prefira.
Exemplo de resultados SHA-1 visualizados no relatório gerado pelo portal da GlobalSign.
Utilize sua Ferramenta de Inventário de Certificados (CIT)
A Ferramenta de Inventário de Certificados da GlobalSign (CIT) é grátis e disponível para qualquer empresa. Ela pode ser executada através de um portal online de fácil utilização para certificados públicos ou como um agente local para inventoriar certificados em toda a sua rede (interna e pública), independente da AC emissora. Com um relatório de certificados SHA-1 pré-montado e disponível prontamente, você poderá localizar todos os seus certificados SHA-1 em minutos.
Essa é uma ótima opção se você possui certificados de múltiplas ACs ou se você está preocupado em esquecer de atualizar algum certificado em sua rede.
Veja os detalhes do certificado
Se você gerencia poucos domínios, será mais fácil acessá-los individualmente e verificar os detalhes de cada um. A forma de fazer isso varia dependendo do navegador, mas geralmente se você clicar no cadeado na URL, você terá a opção de visualizar mais detalhes do certificado e a informação do algoritmo de assinatura.
Exemplo de detalhes do certificado no Google Chrome.
Substituindo certificados SHA-1
Se você encontrar qualquer certificado SHA-1 em websites públicos, você deverá reemití-los assim que possível com o algoritmo SHA-256. Na GlobalSign, nós permitimos reemissões ilimitadas, mas se você utiliza uma outra AC, verifique a política aplicada para reemissões.
Não espere até o final de janeiro para fazer essa atualização! Você não vai querer lidar com essas questões, voltando dos feriados de final de ano.
Se você tiver qualquer dúvida sobre a migração do SHA-1 para SHA-256, entre em contato com nosso suporte.
Não consegue viver sem o SHA-1? Nós temos a solução
Até o momento, o SHA-256 é amplamente suportado pela maioria dos navegadores, servidores e aplicações, porém pode haver alguma incompatibilidade que te impeça de migrar de maneira imediata. Por exemplo, na semana passada, um de nossos clientes precisava assinar um requerimento SOAP e tinha que ser com SHA-1, por um requerimento padrão do processo de integração.
Uma vez que nós não emitimos mais certificados SSL/TLS com SHA-1 a partir de nossas raízes públicas, nós temos uma linha de produtos separada, cujos certificados são emitidos de uma AC não pública, chamada IntranetSSL. Essa solução é ideal para esses casos e outros que não permitem a aplicação de certificados públicos, pois você pode obter a configuração de que precisa sem ter que executar sua própria AC ou depender de certificados auto-assinados. Você só precisa adicionar a raíz IntranetSSL SHA-1 em todos os seus navegadores ou sistemas de aplicações que precisam se conectar com servidores SHA-1.
Nos anúncios mencionados anteriormente, os três maiores navegadores continuam a suportar certificados SHA-1 na cadeia de uma raíz de certificados instalada local ou manualmente (e.x. raíz IntranetSSL). Não está claro por quanto tempo haverá esse suporte; porém, a Google diz que isso esse suporte será interrompido com o lançamento do Chrome após o dia 1 de janeiro de 2019, podendo ser antecipado caso haja uma quebra séria da criptografia do SHA-1. Mozilla e Microsoft não mencionam datas para o encerramento desse suporte, mas recomendam que todos façam essa migração assim que possível.
Para quaisquer dúvidas sobre a migração para o SHA-256, fale conosco.