A Microsoft anunciou recentemente seus planos de abandonar o suporte para certificados TLS assinados pelo algoritmo de hashing SHA -1 a partir de fevereiro de 2017. A Microsoft também reconheceu que vários sites, usuários e aplicativos de terceiros serão gravemente afetados, uma vez que a empresa deplora SHA-1 certificados assinados.
Começando 14 de fevereiroº, 2017, O Microsoft Edge e o Internet Explorer 11 impedirão sites protegidos por um Certificado SHA-1 do carregamento e exibirá um aviso de certificado inválido. Embora desaconselhemos fortemente, os usuários terão a opção de ignorar o erro e continuar no site, disse a Microsoft em sua postagem no blog.
A revelação não é exatamente novidade: a empresa deu a entender isso em novembro.
O algoritmo de hashing SHA-1, usado para segurança de Internet em conjunto com o protocolo HTTPS e certificados usados para proteger sites, foi declarado inseguro e vulnerável a ataques de adversários bem financiados desde 2005, mas foi amplamente utilizado antes, até o SHA Algoritmos -2 e SHA-3 que foram testados para serem alternativas mais seguras para funcionalidades de hash surgiram. A iniciativa não é nova e a função já foi denunciada e rejeitada pelo Google e Mozilla por ser mais sujeita a colisões criptográficas do que o estimado.
A Microsoft detalhou que seus navegadores, o Edge e o Internet Explorer, agora impedirão o carregamento de sites que usam certificados assinados SHA-1 e exibirão um aviso de “certificado inválido” para restaurar a segurança dos serviços. Embora os usuários não sejam obrigados a pular os sites, eles terão a opção de contornar a ameaça e acessar o site potencialmente vulnerável, apesar do aviso, apenas sem o ícone de "bloqueio de barra" que os usuários veem na barra de endereços de seus navegadores.
Os aplicativos de terceiros do Windows que executam o conjunto de APIs criptográficas do Windows SHA-1 ou versões anteriores do Internet Explorer não serão afetados por essas alterações.