רבים מכם בטח קיבלו בימים האחרונים הודעה מבהילה מ-Paypal עם הטקסט הבא:
הודעה זו של PayPal מצטרפת למהלך כלל עולמי של צמצום (או יש יגידו: "הריגת") פרוטוקול SHA1 מהעולם.
את המהלך פתחה לפני מספר חודשים גוגל ב-2 הכרזות:
- הכרזה על כך שאתרים המשתמשים בפרוטוקול הצפנה של SHA1 יקבלו מעתה תצוגה שונה בדפדפן Chrome:
- הודעה על כך שהחל מה-1 לינואר 2017 פרוטוקול ההצפנה לא יתמך כלל בדפדפן Chrome (מה שאומר בעצם שגם אם יש לכם תעודה תקינה ובתוקף, Chrome יציג אותה כלא תקינה במידה ואתם עושים שימוש ב-SHA1)
רגע, מה זה SHA1 ולמה הורגים אותו?
SHA1 הוא חלק מפרוטוקול ההצפנה של SSL שפשוט אינו יעיל יותר, משמע – נפרץ (או אם לדייק, הסיבוכיות שלו פשוטה מידי כיום, כך שרוב המעבדים הביתיים יכולים לפצח את ההצפנה שהוא מעניק בזמן קצר יחסית).
התחליף לפרוטוקול זה קיים כבר שנים (SHA2) אך כל עוד לא היתה סיבה.. הוא לא טופח, ואף אחד לא "דחף" את השימוש בו.
עכשיו כשאין ברירה.. כולם צריכים לתמוך בו.. ובמהירות.
מה אני צריך לעשות מהצד שלי?
ההתייחסות כאן היא לבעלי האתר (אני מאמין שבעלי השרתים ידעו לקחת את חתך ההתייחסות שלהם בנושא):
- אם האתר שלכם מתחבר בצורה כלשהי ל-HTTPS:
אמרה קצת כללית – אני אנסה להסביר.
מקרה כזה מתאר תהליך שסביר להניח שמתרחש אצלכם כמעט בצורה יומיומית, האתר שלכם ניגש (בין אם "ביוזמתו" או ביוזמה שלכם) לאתרים צד שלישי (דרך הקוד) לכל מיני מטרות, החל מעדכון פלאגין מול WordPress ועד לתקשורת מול ספק הסליקה שלכם (לדוגמא, PayPal).
במידה ואחת מהפניות הללו היא מול SSL (כלומר, באמצעות HTTPS), סביר להניח שבעתיד הקרוב.. יעברו גם הם לעבוד באמצעות פרוטוקול SHA2 (כולם הרי צפויים להתיישר אחר PayPal ו-Google).
מבחינתכם זה אומר בעיקר שספק האחסון שלכם צריך לדעת "לדבר" מול תעודות SSL המוצפנות באמצעות SHA2.ובמקרה כזה, שווה אולי "לתזכר" את ספק האחסון שלכם בנושא על מנת שיתמוך בכך.
במידה והספק לא תומך.. יש מקום להכנס לפאניקה, אחרי הכול.. ספקים רבים (כגון Paypal) לא יאפשרו לכם לסלוק באמצעותם אלה במידה והשרת שלכם יודע "לדבר" SHA2 מולם.כיצד בודקים?
הבדיקה פשוטה יחסית ודורשת לגלוש מהשרת עצמו (באמצעות CURL או WGET) מקום טוב יהיה עמודה בדיקה של Symantec לנושא: https://ssltest39.ssl.symclab.com/במידה ואתם לא מקבלים שגיאה בגלישה.. נהדר! השרת תומך בעבודה מול SHA2.
- במידה ואתם מחזיקים תעודת SSL באתר:
במקרה כזה התהליך מעט יותר מורכב, פשוט מכיוון שייתכן והוא לא תלוי בחברת האחסון שלכם – אלה בחברה באמצעותה הנפקתם את תעודת ה-SSL שלכם.
ראשית, יש לבדוק האם תעודת ה-SSL שלכם הונפקה באמצעות SHA1 או SHA2, דרך קלה לבדוק זאת היא באמצעות האתר: https://shaaaaaaaaaaaaa.com (פשוט הזינו את שם האתר, הוא כבר יחזיר לכם אם אתם עובדים עם SHA1 או SHA2).במידה וגיליתם שאתם עובדים עם SHA1.. ראשית, בלי פאניקה (אחרי הכול, יש לכם זמן עד ה-1 לינואר 2017), אבל מומלץ לפנות כבר עכשיו לגורם באמצעותו הנפקתם את תעודת ה-SSL ולבקש מהם שיחליפו עבורכם את התעודה כך שתעבוד עם SHA2.
מדובר בתהליך ללא תשלום אך יהיה עליכם להתקין את התעודה מחדש בשרת (בעצמכם או באמצעות גורם צד שלישי).
לסיכום
אנו ממליצים לבדוק את הנושא בהקדם מול ספק האחסון הנוכחי שלכם.
ברוח זו נציין כמובן שכלל השרתים המתופעלים ע"י חברת SPD תומכים באופן מלא בתצורת עבודה מול SHA2.
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
- PHPMailer Exploit - דצמבר 28, 2016
השאר תגובה