微软明年2月终止Microsoft Edge及IE对SHA-1的支持

微软于上周宣布，自明年2月14日起，旗下的Microsoft Edge与IE 11浏览器将不再支持采用SHA-1凭证的网站，但企业或自我签署的SHA-1则不在此限，除了微软之外，Google及Mozilla也都已经宣布预计于明年1月释出的Chrome 56与Firefox 51也都不再支持SHA-1。

SHA-1为一安全杂凑演算法，只是近年来纷纷有研究显示攻击该演算法的成本大为降低，已无法再确保其传输安全，相关弱点将允许骇客在使用者浏览网页时置换内容、执行网钓或中间人攻击，使得不论是微软、Google或Mozilla等主要浏览器业者早就达成渐次淘汰SHA-1的共识。

微软表示，从明年的2月14日起，Microsoft Edge与IE 11会在使用者造访采用SHA-1的网站跳出“无效凭证”的警告讯息，不过使用者仍可选择忽略该讯息以连至该站 。此一政策虽不影响手动安装的企业或自我签署的SHA-1凭证，但微软仍强烈建议业者尽快改用SHA-256。

其实接替SHA-1的SHA-2家族早就出炉，但根据资安业者Venafi的估计，全球还有35%的网站仍在使用不安全的SHA-1，代表1.73亿的全球网站中，有6100万个是不安全的。

Venafi警告，所有的浏览器都仰赖凭证来确保网站的可靠性，特别是在从事电子商务或网路银行等活动时，被不少凭证采纳的SHA-1演算法可能遭受碰撞攻击而允许骇客伪造凭证或执行中间人攻击。

有鉴于每个组织平均拥有超过2.3万个金钥或凭证，且多数的组织缺乏挖掘环境中所有SHA-1的工具，使得不少组织仍抱着侥倖心态，只是这些组织显然在明年第一季就将无从藏匿，尽速规画移转方案才是王道。