摘要:2005年由中國數(shù)學(xué)家王小云領(lǐng)導(dǎo)的研究小組成功破解了當(dāng)前廣泛使用的密碼算法MD5和SHA-1,而其中SHA-1所面臨的情況最為嚴(yán)重;2012年Jesse Walker預(yù)估找到SHA-1碰撞需要200萬美元,但這費用在2017年會下降至17.3萬美元;2014年谷歌宣布降低SHA-1的安全指示;2015年包括Mozilla、微軟在內(nèi)的諸多科技廠商紛紛宣布放棄SHA-1簽署的數(shù)字證書。不過在這場更新?lián)Q代的浪潮中,以Facebook和Cloudfare(網(wǎng)站安全管理提供商)為代表的科技企業(yè)站在另一面。
Cloudfare公司表示這種過渡對于那些老設(shè)備用戶來說可能是非常糟糕的決定。根據(jù)大量CDN和服務(wù)器網(wǎng)絡(luò)的調(diào)查數(shù)據(jù)顯示,全球至少還有3700萬用戶使用無法兼容支持新版SHA-2的老款瀏覽器,如果網(wǎng)站遷移到SHA-2,一旦完成過渡則意味著這些用戶無法再訪問HTTPS網(wǎng)站。
盡管根據(jù)Cloudfare公司的預(yù)估報告顯示已經(jīng)有98.31%的互聯(lián)網(wǎng)用戶使用支持SHA-2的瀏覽器,但是公司暫時不會放棄這3700萬用戶。而這個觀點得到了Facebook首席安全官Alex Stamos的支持。