SSL Sertifikaları, otoriteler tarafından imzalanırken “Mesaj Özü” denilen kripto grafik fonksiyonları kullanıyor. Bu fonksiyonların içinde SHA (Secure Hash Algorithm) adıyla anılan seri önemli yer tutuyor. Bu seri içinde SHA-1 için bir süredir (on yıldır) teorik zayıflıklar gözleniyor ve pek önerilmiyordu.
Öyle ki önemli tarayıcıların hepsi 2017 Ocak ayından itibaren SHA-1 tabanlı sertifikaları kabul etmeme kararı almışlardı.
Geçtiğimiz ay bazı araştırmacılar bu teorik zayıflıkları pratik bir saldırıda somutladılar ve 2015 sonuna pratik olarak kırabileceklerini duyurdular. Bu şu anlama geliyor: bir otorite tarafından imzalanmış bir sertifika alınıp aynı imzayı kullanabilecek başka (sahte) bir sertifika üretmek teorik olarak mümkün.
Bu durumun pratik sonucu bir felaket sayılır, çünkü bugün kullanımdaki sertifikaların tahminen yüzde 28’i SHA-1 tabanlı.
Bu gelişmenin ardından Mozilla SHA-1 kabul etmeme tarihini 6 ay geriye çekip 2016 Haziranı olarak duyurmuştu. Şimdi Microsoft da Internet Explorer tarayıcısı için bu tarihi 6 ay geri çekmeyi düşünüyor.
SHA-0 (1993), SHA-1 (1995), SHA-2 (2001) ve SHA-3 (2012) SHA serisinin fonksiyonları. SHA-0 1998 yılında kırılmış, ardından SHA-1 için zayıflıklar gösterilmişti. SHA-2 için bugün bilinen bir saldırı olmamakla birlikte SHA-1’e temel olarak çok benzeyen bir yapısı var. Bu da bu saldırıların bir çalışmayla SHA-2’ye de taşınabileceği şüphesi doğuruyor.
İlk üç SHA fonksiyonunun tasarımı NSA tarafından yapılmıştı. SHA-3 ise 2012 yılında kripto camiası içinde açılan bir yarışmanın kazanan fonksiyonu olarak çok daha güvenilir duruyor.