Google为什么会急于杀死SHA 1证书?
Google官方博客宣布,将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。
但有意思的是Google.com目前使用的也是SHA-1签名的证书,但证书将在3个月内过期,Google将从2015年起使用SHA-2签名的证书。
SHA-1算法目前尚未发现严重的弱点,但伪造证书所需费用正越来越低:
在2005年,王小云等人证明SHA-1能在更短的时间内找到碰撞;2012年,Jesse Walker估计找到一组SHA-1碰撞需要200万美元,但这一费用到2017年会降至17.3万美元。
另:《Google IPv6地址在中国大陆教育网疑似遭到SSL中间人攻击》,不知Google急于SHA 1证书是否与此事有关或已经觉得安全受到威胁了。