Certyfikaty SSL chronią prywatność naszych danych na każdym kroku. Logując się do banku, poczty elektronicznej, sklepu internetowego lub portali społecznościowych zabezpieczają przesyłane informacje przed niepowołanym dostępem. Zakupiony certyfikat zawiera zweryfikowane informacje o właścicielu domeny pozwalające na jego identyfikację. Z procesem stojącym za wygenerowanie certyfikatu wiąże się zastosowanie odpowiedniego algorytmu kryptograficznego.
Google na swoim blogu poświęconemu bezpieczeństwu internetowemu informuje, że dotychczas stosowany algorytm szyfrowania SHA-1 może stanowić potencjalne źródło ataków, podobnie jak MD5. Wychodząc na przeciw użytkownikom przeglądarki Chrome postanowiło poinformować o możliwym ryzyku poprzez zmianę ikonki informującej o połączeniu SSL:
Powyższa zmiana wejdzie w życiu z wersją 39 przeglądarki Chrome i oznaczać będzie, że połączenie jest bezpieczne, lecz zawiera drobne błędy. Taki komunikat pojawi się na wszystkich witrynach, które mają wykupiony certyfikat ważny dłużej niż do 1 stycznia 2017 roku.
Z wersją 40, której premiera zaplanowana została na 7 listopada 2014 ikona zostanie zmieniona na ikonę pustej strony, takiej jak przy normalnym połączeniu http i dotyczyć będzie certyfikatów, które wygasają od 1 czerwca do 31 grudnia 2016 roku włącznie i po 1 stycznia 2014 roku.
Natomiast w wersji 41, planowanej na 1 kwartał 2015 roku wyżej wymienione certyfikaty traktowane będą jak niezaufane.
Jak informuje Google, użytkowanie SHA-1 dla potrzeb internetu zostało wycofane już w 2011 roku przez CA/Browser Forum, organizację mającą na celu ustandaryzowanie przepisów dotyczących certyfikatów SSL.
Przypominamy, że powyższa informacja dotyczy jedynie przeglądarki Google Chrome. Wyświetlany komunikat nie świadczy o braku certyfikatu lub jego nieważności.
Źródło: Google Online Security Blog