การเข้ารหัสด้วย SHA-1 นั้นถูกใช้มาตั้งแต่ปี 1995 จนกระทั้งเมื่อปี 2005 การเข้ารหัส SHA-1 ก็ถูกโจมตีและถอดรหัสได้สำเร็จ ซึ่งเป็นการส่งสัญญาณว่าการเข้ารหัสแบบ SHA-1 นั้นไม่ปลอดภัยอีกต่อไป และสนับสนุนให้ไปใช้การเข้ารหัสที่ปลอดภัยกว่า เช่น SHA-2 หรือ SHA-3 แทน
ทั้งนี้ก็ยังมีเว็บไซต์อีกจำนวนหนึ่งที่ยังคงใช้ใบรับรองที่เข้ารหัสด้วย SHA-1 อยู่ ซึ่งทำให้เว็บเหล่านี้มีความเสี่ยงที่จะถูกดักข้อมูลได้ง่าย ดังนั้นผู้ผลิตเบราเซอร์รายใหญ่ ทั้ง Microsoft, Mozilla, และ Google ต่างออกมาแสดงท่าที่ในทิศทางเดียวกันว่าจะแบนการใช้งานใบรับรองที่เข้ารหัสแบบ SHA-1
ล่าสุดทางด้าน Microsoft ที่ได้ออกมาแสดงท่าทีไปก่อนหน้านี้แล้ว ก็ได้ออกมาแจ้งรายละเอียดเพิ่มเติม โดยเบราเซอร์ทั้งสองตัวของไมโครซอฟท์ (IE11, และ Microsoft Edge) จะเลิกรองรับใบรับรองที่เข้ารหัสด้วย SHA-1 ตั้งแต่วันที่ 4 กุมภาพันธ์ 2017 เป็นต้นไป โดยเว็บที่ใช้ใบรับรองที่เข้ารหัสด้วย SHA-1 จะขึ้นเป็น “Invalid Certificate”
ทั้งนี้การเลิกรองรับนี้ จะเป็นเฉพาะใบรับรองที่อยู่ใน Microsoft Trusted Root CA เท่านั้น แต่ใบรับรองที่ผู้ใช้ติดตั้งเองจะยังใช้งานได้ตามปกติ (กล่าวคือจะบล็อคเฉพาะเว็บไซต์ทั่วไปบนอินเตอร์เน็ต แต่เว็บไซต์ในองค์กรที่ผู้ใช้ต้องติดตั้ง CA เอง จะยังใช้ SHA-1 ได้ตามปกติ)
ที่มา – Neowin
ความเห็นของเรา
การเข้ารหัสเว็บไซต์ด้วย SSL นั้นเป็นวิธีการอย่างหนึ่งที่ยืนยันกับผู้ใช้ได้ว่าข้อมูลที่ได้รับมานั้นไม่ได้ถูกแก้ไขระหว่างทาง (เว็บไซต์ที่ไม่เข้ารหัส แฮ็กเกอร์สามารถดักข้อมูล แล้วแก้ไขข้อมูลก่อนมาถึงผู้ใช้ได้ เช่นหน้าี่ยละเอียดโอนเงิน แฮ็กเกอร์สามารถดักแล้วแก้เลขบัญชี เป็นบัญชีของแฮ็กเกอร์เอง) รวมทั้งเป็นการรับประกันว่าข้อมูลที่เราส่งกลับไปนั้น ไปถึงผู้ให้บริการจริงๆ ไม่ได้ถูกดักไว้ระหว่างทาง (เช่นข้อมูล username และ password ซึ่งจริงๆ มันดักได้ แต่แฮ็กเกอร์จะอ่านไม่รู้เรื่อง)
หากแต่ว่าการเข้ารหัสเว็บไซต์ด้วย SSL นั้น ก็มีวิธีการเข้ารหัสข้อมูลที่ต่างกันไปหลายวิธี และ SHA-1 ก็เป็นหนึ่งในวิธีเหล่านั้น ซึ่งสิบกว่าปีที่แล้ว การโจมตีการเข้ารหัส SHA-1 ก็เป็นเครื่องยืนยันแล้วว่า SHA-1 ไม่ปลอดภัยอีกต่อไป และทำให้ข้อมูลที่เข้ารหัสด้วย SHA-1 จะสามารถถูกถอดรหัสเป็นข้อมูลที่อ่านได้อย่างง่ายดายนั่นเอง