di Pierluigi Paganini*
Brusca accelerata di Microsoft per quanto concerne la sospensione del supporto per i certificati firmati con algoritmo SHA-1. Il colosso IT pianifica di non accettare più tali certificati nei prossimi 4 mesi.
La principale motivazione è che proprio questi certificati sono oggetto di un numero di attacchi crescenti sul web essendo vulnerabili ad attacchi di collisione. Ovvero c’è la possibilità da parte di attori malevoli di generare falsi certificati la cui impronta SHA-1 è la medesima di quelli legittimi.
Il concetto alla base di un attacco di collisione è che, a fronte di due input differenti, si sia in grado di generare nel caso dello SHA-1 la medesima impronta di 160-bit, noto anche come valore di hash.
La notizia era già stata annunciata in novembre da Microsoft, ma sembrerebbe che i famigerati certificati abbiano i mesi contati.
Micorsoft e SHA-1, si cambia
Dalla prossima estate i browser Microsoft smetteranno di considerare sicuri siti web che espongono certificati basati sull’algoritmo di hashing SHA-1.
Per i non addetti ai lavori, ciò si traduce nella mancata visualizzazione del lucchetto simboleggiante l’utilizzo di una connessione sicura. In realtà i rischi sono notevoli perché un malintenzionato potrebbe intercettare tale traffico, con ovvie conseguenze. Google Chrome e Mozilla Firefox, già da molto tempo, considerano tali connessioni non sicure pur consentendo all’utente di proseguire nella navigazione.
La scelta di casa Microsoft sarà percepita dapprima dalle comunità di sviluppatori che solitamente hanno accesso in anteprima ai suoi prodotti per finalità di test.
“Questo aggiornamento sarà introdotto a partire dalle nuove versioni di Microsoft Edge su piattaforma Windows 10 e Internet Explorer 11 per Windows 7, Windows 8.1 e Windows 10. L’aggiornamento avrà effetto solo su certificati emessi da CA presenti nel Microsoft Trusted Root Certificate Program.” Informa una nota emessa da Microsoft.
Dall’inizio del 2016 le Certification Authority riconosciute dal Microsoft Trusted Root Certificate Program hanno sospeso l’emissione dei certificati basati su SHA-1. Da gennaio 2017 i principali produttori di browser si allineeranno alla politica annunciata da Microsoft nella gestione di siti web che espongono tali certificati.
Nel 2012 fu predetta la possibilità di “craccare” l’algoritmo SHA-1 da parte di gruppi con importanti capacità computazionali entro 6 anni. In ottobre tale previsione è stata rivista ipotizzando attacchi di collisione condotti con successo entro il 2015.
SHA-1 verrà soppiantato dall’algoritmo di hashing SHA-2, che si ritiene molto più resiliente ad attacchi di collisione.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
