Na Microsoft en Google gaat ook Mozilla de ondersteuning van het SHA-1-algoritme stoppen, zo heeft de browserontwikkelaar laten weten. Het SHA-1-algoritme wordt gebruikt voor het signeren van SSL-certificaten. De veiligheid van het algoritme ligt al langere tijd onder vuur omdat het steeds kwetsbaarder voor collision-aanvallen worden. Bij een collision-aanval is het mogelijk om een vals SSL-certificaat te maken, waarbij de SHA-1-hash nog steeds overeenkomt met de hash van het legitieme certificaat dat door een Certificaat Autoriteit is uitgegeven.
Om internetgebruikers tegen frauduleuze SSL-certificaten te beschermen stelt Mozilla dat Certificaat Autoriteiten na 1 januari 2016 geen SSL-certificaten meer moeten uitgeven die met SHA-1 zijn gesigneerd. Daarnaast moeten deze certificaten na 1 januari 2017 helemaal niet meer worden vertrouwd. Mozilla is nu van plan om een beveiligingswaarschuwing aan de webconsole toe te voegen om webontwikkelaars eraan te herinneren dat ze geen SHA-1-gebaseerde certificaten moeten gebruiken.
Ook zal er een duidelijkere waarschuwing verschijnen als het certificaat na 1 januari 2017 nog geldig is, aangezien Mozilla deze certificaten dan zal weigeren. De waarschuwingen zullen de komende weken worden geïmplementeerd, wat inhoudt dat ze waarschijnlijk begin 2015 in Firefox zullen verschijnen. Als Firefox na 1 januari 2017 een SHA-1-gebaseerd certificaat tegenkomt krijgen gebruikers een waarschuwing dat de verbinding niet betrouwbaar is.
Deze posting is gelocked. Reageren is niet meer mogelijk.