SHA-1 artık önerilmiyor

SHA-1 özetleme (hashing) algoritmasının saldırılaradaha önce sanıldığından daha açık olabileceğini öne süren son araştırmalar ışığında, hem Microsoft hem de Mozilla, tarayıcılarında SHA-1 temelli SSL/TLS sertifikalarının reddedileceği tarihi öne almak için görüşmelere başladı.

Haber henüz doğrulanmış olmasa da, Mozilla 1 Temmuz 2016’dan itibaren SHA-1 sertifikalarını reddetmeyi düşünüyor; Microsoft’un ise Haziran 2016 gibi biraz daha erken bir tarihte reddetmeye başlayabileceği söyleniyor. Bu planlarpolitikaya dönüşürse, Firefox ve Internet Explorer/Edge bu yeni tarihlerin ardından karşılaştıkları her SHA-1 sertifikasında hata mesajı verecek. Bunun için daha önce belirlenen tarih 1 Ocak 2017 idi ve durum, Stronger SHA-2 Algorithm ve Transitioning to SHA-2 bağlantılardan ulaşabileceğiniz daha önceki uyarı yazılarımızda anlatılmıştı.

Google’ın da Chrome tarayıcıları için çok yakında benzer bir tarih duyuracağını düşünüyoruz.  Bu yüzden, müşterilerimize kendi web sitelerinde eğer SHA-1 SSL/TLS sertifikaları varsa bunları ücretsiz olarak en geç 31 Mayıs 2016’ya kadar SHA-2 ile değiştirmelerini kuvvetle öneriyoruz.

Aşağıdaki tabloda, başlıca tarayıcıların SHA-1 imzalı SSL/TLS sertifikalarına güvenmeyi bırakacağı kesinleşmemiş yeni tarihler özetleniyor.

Microsoft blog: Mozilla blog:

Mozilla blog: https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/

Microsoft blog: https://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

Tüm tarihler Microsoft, Google ve Mozilla tarafından gözden geçirilecek olup değişebilir.

Etkilenip etkilenmediğimi nasıl bileceğim?

Alan adınızı  https://sslanalyzer.comodoca.com/ adresindeki sertifika kontrol işlevimize girin. SHA-1 sertifikanız varsa, ‘İmza’ satırında size söyleyecektir. Eğer varsa, lütfen ücretsiz SHA-2 değişiminizi Comodo’dan 31 Mayıs 2016 tarihine kadar alın. Sertifikanızın süresi 31 Mayıs’tan önce doluyorsa, sertifikanızın süresinin dolmasını bekleyebilirsiniz; ancak yine de, ziyaretçileriniz için en yüksek koruma düzeyini sağlayabilmek amacıyla mümkün olan ilk fırsatta bir SHA-2 almanızı öneriyoruz.

SHA-2 sertifikasını nasıl alabilirim?

Comodo, tüm müşterilerine ücretsiz bir sertifika değişim hizmeti sunmaktadır.  SHA-1 sertifikanızı SHA-2 ile değiştirmek için oluşturmuş olduğunuz yeni CSR kodunuzu,hesap yöneticinize iletmeyi unutmayın. SHA-1 sertifikalarının süresi 31 Mayıs 2016 tarihinden sonra dolan Comodo müşterilerinin ve iş ortaklarının sertifikalarını değiştirmelerine yardımcı olmak için en kısa zamanda onlare email göndereceğiz. Daha fazla bilgi ve tavsiye için bu bilgilendirici makaleyi okuyabilirsiniz.

Hala SHA-1 gerektiren bir şey var mı?

SHA-2’yi destekleyen işletim sistemlerinin, tarayıcı ve sunucuların tam bir listesi Sertifika Otoritesi (SO) Güvenlik Konseyinin  web sitesinde mevcuttur. Emin olmadığınız belli bir yazılım parçanız varsa, SHA-2 desteği sunmayı planlayıp planlamadıklarını öğrenmek için yazılım satıcınızla iletişime geçmenizi öneririz.
Comodo’nun SHA-2 sertifikası kullanan bir test sitesi bulunmaktadır. SHA-2’ye uygun olup olmadığını görmek için yazılım ve cihazlarınızı bu URL ile test edebilirsiniz: https://sha256rsa.comodoca.com

Comodo durumu izlemeye ve SHA-2 yükseltimlerinin mümkün olduğunca sorunsuz gerçekleşmesini sağlamak için müşterileriyle birlikte çalışmaya devam edecek. Geçiş süreciyle ilgili sorularınız varsa, lütfen Comodo hesap yöneticinizle veya Comodo müşteri hizmetleriyle doğrudan destek@comodo.com.tr adresi üzerinden iletişime geçin.

Kod imzalama sertifikaları bundan etkileniyor mu?

Sertifika otoriteleri 1 Ocak 2016’dan sonra SHA-1 kod imzalama sertifikaları çıkarsa bile, SHA-1 imzasıyla imzalanmış (ve tarihlenmiş) ya da SHA-1 sertifikası kullanan bir kodla Windows 7 ve üstü sistemlerde standart Authenticode imzalama YAPILAMAYACAĞINI unutmayın.