Mozilla wbrew obietnicom: wydaje Symantecowi certyfikaty złamanej SHA‑1

O tym, że wykorzystywana powszechnie funkcja skrótu SHA-1 nie jest już bezpieczna wiadomo już od dłuższego czasu. W związku z tym najważniejsze firmy stojące za popularnymi przeglądarkami zdecydowały nie przyznawać nowych certyfikatów. Wśród nich była także Mozilla, wiadomo już jednak, że Fundacja nie ma zamiaru dotrzymywać obietnicy.

Złamanie SHA-1 było w zeszłym roku pewnym zaskoczeniem: według wcześniejszych ekspertyz miała ona przetrwać co najmniej do roku 2017, a złamanie jej cyklów do tego czasu miało być po prostu zbyt kosztowne, nieopłacalne. Okazało się jednak, że SHA-1 może być złamane w ciągu 10 dni z wykorzystaniem klastra zbudowanego z 64 kart NVIDIA GTX970.

Zaangażowanie go do pracy na ten okres to relatywnie niewysoki koszt 75 tysięcy dolarów. Konieczne było zatem działanie: Google, Mozilla czy Microsoft zadeklarowały, że ich przeglądarki przestaną obsługiwać SHA-1 najpóźniej do początku 2017 roku, a od stycznia tego roku nie zostaną już żadne nowe certyfikaty. Mozilla opublikowała właśnie stanowisko, w którym stwierdza, że wbrew wcześniejszym obietnicom zrobi wyjątek: 9 nowych certyfikatów ma otrzymać Symantec.

Zostaną one wykorzystane na potrzeby autoryzacji transakcji płatniczych realizowanych przez firmę Worldpay, która obsługuje około 10 tysięcy terminali. Korporacja deklaruje, że zwróciła się o wydanie nowych certyfikatów już po deklarowanym terminie porzucenia SHA-1 w związku z problemami w komunikacji i miała to zamiar zrobić wcześniej. Motywacja wydaje się mało przekonująca, jednak lobby Symanteca wystarczyło, aby przekonać Fundację.

Jednocześnie deklaruje ona, że certyfikaty zostały wydane tylko pod ściśle określonymi warunkami. Mają one bowiem służyć Worldpay jedynie w płynnej migracji do SHA-2. Kuriozalnie wypada fakt, że Mozillla wyraża także ubolewanie, że wciąż istnieją organizacje korzystające z SHA-1. Trudno jednak stwierdzić, aby pobłażliwość Fundacji miała ich motywować do rezygnowania z tych praktyk.