Google Chrome vs SHA-1

Scritto da -

La notizia, ormai ufficiale, è che Google Chrome terminerà presto di supportare SHA-1. Ma cosa ha portato a questa decisione, e cosa esattamente comporta per il mercato del Web, non è stato sufficientemente spiegato e crediamo utile condividere sul tema qualche informazione in più.

Che il sistema di crittografia SHA-1 fosse debole ed esposto ad attacchi era cosa nota da anni; in rete è possibile trovare articoli che ne parlano già nel 2005, quando un team di esperti di sicurezza cinesi evidenziò una falla nell’algoritmo.

Eppure l'SHA-1 si trova ancora oggi alla base di applicazioni per la sicurezza come PGP e di importanti protocolli di Internet come SSL (Secure Sockets Layer), utilizzato da siti di e-commerce e banche online per proteggere le loro transazioni.

Molti service provider e fornitori di servizi online si sono già dati da fare per sostituire i vecchi certificati digitali con soluzioni più sicure, e del resto sia Mozilla che Microsoft hanno un loro piano di “deprecazione”, che implica la rinuncia in futuro al sistema SHA-1. Ma Google fa un ulteriore passo in avanti, pensionando già da ora questo sistema di criptazione che non considera sufficientemente sicuro.

E’ una scelta coraggiosa, perché uno dei motivi principali per cui è stato così difficile per i browser allontanarsi da questi algoritmi di firma digitale dipende proprio dalla loro larga diffusione. Quando un browser segnala che un determinato sito web “non è sicuro” e si blocca, l'utente potrebbe semplicemente decidere di adottare un altro broswer.

Google sembra scommettere che Chrome è abbastanza attendibile e soprattutto abbastanza amato dai suoi utenti al punto da rischiare questo “svantaggio” competitivo con gli altri browser, sperando anzi di forzare il mercato ad adeguarsi più velocemente all’applicazione di soluzioni di certificazione sicure.

Anche Opera sostiene il piano di Google su questi aspetti, mentre il team di Safari al momento resta “in finestra a guardare” gli sviluppi commerciali della vicenda e non ha ancora annunciato niente in proposito.

Se non siete sicuri che i vostri sistemi utilizzino certificati sicuri e modelli di criptazione più recenti, potete sempre rivolgervi al vostro tecnico ICOA di fiducia.

Contattate il nostro HelpDesk all’indirizzo email [email protected] oppure richiedete maggiori informazioni sui servizi ICT ICOA all’indirizzo [email protected]

Daniele Mazzucchi

Daniele nasce a Roma il 4 maggio 1970, è il Direttore di Produzione; inizia giovanissimo a occuparsi di sistemi di rete e di telematica in generale; fonda Nexus nel 1992, uno dei primi provider internet italiani, e successivamente IstriaOnLine, il primo provider internet in Croazia. Attraverso la sua società, la Nexus, partecipa attivamente alla fondazione della naming authority italiana, che diverrà successivamente il registro italiano internet (ccTLD.it). Nel 1999 lascia le sue attività per dedicarsi come professionista indipendente alla web application, collaborando con molte grandi aziende come BPM, IMI San Paolo, Mercedes-Benz Finanziaria; diventa successivamente, nel 2000, Direttore di Produzione di EFM Engineering, dove progetta in particolare una delle prime piattaforme FAD italiane AICC based. Nel 2003 avvia un nuovo progetto imprenditoriale entrando in ICOA, dove sviluppa il settore internet seguendo in prima persona la web application e il marketing online. Guarda il profilo di Daniele su Linkedin.