ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

ระบบปฎิบัติการรุ่นเก่าไม่ได้รองรับ SHA-2 ในตัวทำให้หากเบราว์เซอร์ที่ใช้ API ของระบบปฎิบัติการที่ไม่รองรับตัวเบราว์เซอร์ก็จะไม่รองรับเช่นกัน เช่น Windows XP, Android 2.2 และลินุกซ์ที่ใช้ OpenSSL 0.9.8 ลงไป บางประเทศมีปัญหาหนักกว่าประเทศอื่นๆ เช่น จีนมีเบราว์เซอร์ที่ไม่รองรับ SHA-2 ถึง 6.08% รองลงไปเช่น คาเมรูน, เยเมน, ซูดาน, อียิปต์, ลิเบีย

เฟซบุ๊กและ CloudFlare เรียกร้องให้ CA/Browser Forum ออกใบรับรองประเภทใหม่ Legacy Verifed (LV) ให้กับหน่วยงานที่ยืนยันได้ว่ามีช่องทางให้บริการเชื่อมต่อด้วยใบรับรอง SHA-2 แล้ว และใบรับรองประเภท LV นี้จะมีให้บริการกับเบราว์เซอร์เก่าเท่านั้น

กระบวนการย้ายใบรับรองขนานใหญ่เช่นนี้เกิดขึ้นครั้งสุดท้ายในปี 2008 เมื่อนักวิจัยสามารถสร้างข้อมูลที่แฮช MD5 ตรงกันได้สำเร็จ แต่หลังจากสร้างข้อมูลที่แฮชตรงกันได้ กว่าเบราว์เซอร์จะหยุดรองรับใบรับรอง MD5 จริงๆ ก็ในปี 2013 หรือใช้เวลากว่า 5 ปี ตอนนี้แม้ SHA-1 จะอ่อนแอกว่าที่ออกแบบไว้มาก แต่ก็ยังไม่มีรายงานการสร้างแฮชชนกันสำเร็จแต่อย่างใด

ที่มา - CloudFlare, Facebook