Google 将与 Mozilla、微软一道加速 SHA-1 弃用

[rakhirhif8963]

弗拉基米尔·贝兹马利| 2015 年 12 月 28 日
11 月，微软宣布将终止对使用 SHA-1 哈希算法的 SSL/TLS 证书的支持。此前，Mozilla 宣布计划终止对 SHA-1 的支持。现在，谷歌正考虑加入微软和 Mozilla 的行列，并在 2016 年中期停止对 Google Chrome 中 SHA-1 证书的支持。

2012 年有人预测，到 2018 年，攻击者才会具备伪造此类证书的技能 。因此，浏览器制造商计划在 2017 年 1 月 1 日之后停止对 SHA-1 证书的支持。然而，新的估计表明，像亚马逊的 EC2 这样的云服务使得创建 SHA-1 证书的成本非常低，而且它们可能不再安全。

现在，Mozilla、微软和谷歌计划将证书弃用日期从 2017 年 1 月 1 日移至 2016 年 7 月 1 日，因为他们认为出现假证书的可能性还不是太高。这三家公司还将于2016年1月或2月停止支持RC4加密算法。

澳大利亚政府反对海外 以色列电报数据 使用双重身份验证
弗拉基米尔·贝兹马利| 2015 年 12 月 28 日
澳大利亚政府在其 myGov 门户和 Twitter 账户上敦促澳大利亚人在出国旅行时关闭双重身份验证 (2FA)。

值得注意的是，澳大利亚公民可以在myGov门户网站上使用许多政府服务，包括与健康保险、纳税和申请儿童福利相关的服务。这里通过向用户发送短信来实现两步验证。这些消息除了包含用户的常规密码外，还包含一次性代码。

该门户网站提出建议的理由很明确。有些游客出国时，会向当地运营商购买SIM卡。因此，他们将无法收到 myGov 代码。

然而，大量 Twitter 用户指出，停止使用 2FA 是一个坏主意，尤其是当公民出国旅行时。显然，政府的提议大大降低了安全级别。然而，它并没有提供比放弃 2FA 更好的措施。

本文作者 是Microsoft MVP，Microsoft Security Trusted Advisor。