从SHA-1证书禁令的Mozilla豁免过时的付款终端

禁令生效后不到两个月的新SSL / TLS证书签署了弱SHA-1散列算法，豁免已经开始塑造。

Mozilla周三宣布，它将允许运营世界上最大的证书当局之一的赛门铁克，向客户发出九个新的这些证书，以便容纳超过10,000个支付终端，该终端已经及时升级。

根据Mozilla安全策略邮件列表的讨论，WorldPay是一个大型支付处理器，无法将其一些SSL / TLS服务器迁移到SHA-2证书。由于监督，该公司在2015年12月31日之前，该公司也没有为这些服务器获得新的SHA-1证书，仍然允许这样做。

SHA-1是一个老化散列算法，是在进行逐步淘汰的过程中，因为它是可能导致伪造数字证书的攻击的攻击，并且在有人获得这种能力之前，它只是时间问题。

因此，CA /浏览器论坛，一组证书颁发机构和浏览器制造商，为发行和使用数字证书而设定了指导方针，决定在2016年1月1日之后不得颁发新的SHA-1签署的证书。在该日期之前发布的SHA-1证书将继续通过浏览器信任，直到他们到期或直到2017年1月1日，以先到者为准。

由于这些CA行业规则，因为它错过了截止日期，WorldPay发现自己无法替换当前存在于某些服务器上的SHA-1证书，并将其设定为2月28日到期。

问题是，有超过10,000多个支付终端，这些支付终端在世界各地使用，需要与受影响的服务器进行通信，以便处理事务。这些终端不支持与更新和更安全的SHA-2算法签名的证书，并且不能及时更换。

WorldPay现已接近赛门铁克，并要求新的SHA-1证书请求，但赛门铁克需要从CA / B论坛获得豁免，以便在1月1日期截止日期后发出此类证书。否则，它的风险具有由浏览器和操作系统供应商不信任的根本证书，以违反行业已接受的规则。

经过一天的讨论后，Mozilla同意允许赛门铁克向WorldPay发出所需的证书，但在某些条件下，如将其寿命限制为90天，并在证书透明日志中发布它们。

“这项授权意味着赛门铁克可以发布SHA-1证书，使WorldPay的设备能够保持较长的时间，并且莫扎拉的销售将被视为缺陷，”Mozilla的Firefox安全领导者Ricefox Security Lead说：星期三博客。“该决定仅影响Mozilla根计划;其他根计划仍可能考虑发布这些证书是误解的。”

这意味着Symantec还需要询问其他受信任的根证书计划的维护者，如Microsoft和Apple，以获取许可。

如果它获得了前进，这将建立先例，其他公司可能会要求豁免。Mozilla承认，如果这些请求至少在新证书的预期发行日期前至少两周考虑案例，则愿意考虑类似的请求。

“我们了解到，除了世界穷国之外的付款处理组织继续对SHA-1具有类似的要求 - 无论是在网络PKI [公钥基础设施]中或外部之外，那么Barnes表示。“这些组织正在令人失望的是，通过使用弱者过时的安全技术将公众的数据以风险为风险。我们鼓励组织在网上PKI中继续需要SHA-1，以尽快出现，并尽可能详细地提供他们的过渡到SHA-2的计划。“

这不是第一个，可能赢得了浏览器制造商必须在互联网上退回SHA-1证书的计划。

1月份，Mozilla被迫撤消它在Firefox中制造的变更，以禁止1月1日之后发布的所有SHA-1证书。事实证明，执行中间人SSL / TLS流量检查的一些安全设备正在使用自签名的SHA-1证书。由于禁止，使用此类设备的网络上的Firefox用户突然无法访问任何HTTPS网站。

同时，Facebook和CloudFlare正在推动创建新类的SHA-1签名证书，即HTTPS网站只能使用不支持SHA-2证书的传统浏览器和移动客户端使用。