A Microsoft retira a suspensão do SHA-1 na linha de base de segurança do Edge 85
A Microsoft publicou uma nova linha de base de segurança para o Microsoft Edge e uma das novas regras é intitulada “Permitir certificados assinados usando SHA-1 quando emitidos por âncoras de confiança locais”.
Esperar! O que? Aaah … sistemas legados atacam novamente, mas não vão receber outra mordida.
O que pode surpreender alguns leitores, visto que o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos descontinuou o SHA-1 em 2011 e a Microsoft o baniu de seus navegadores Internet Explorer e Edge em 2017.
Ambos fizeram isso porque o algoritmo de hashing era suscetível a ataques de colisão que permitiam a criação de réplicas, uma falha que o Google provou no início de 2017.
Então, por que a Microsoft reviveu o SHA-1 agora?
A explicação de Redmond inclui a admissão de que “pode parecer estranho que estejamos adicionando uma configuração obsoleta à linha de base”, mas insiste que “este é importante”.
“O Microsoft Edge proíbe certificados assinados usando SHA-1 por padrão, e a linha de base de segurança está impondo isso para garantir que as empresas reconheçam que permitir cadeias SHA-1 não é uma configuração segura”, escreveu o camarada de segurança da Microsoft Rick Munck. “Se você precisar usar uma cadeia SHA-1 para compatibilidade com os aplicativos existentes que dependem dela, abandonar essa configuração o mais rápido possível é fundamental para a segurança de sua organização.”
O alívio também é temporário: “Na versão 92 do Microsoft Edge (meados de 2021), essa configuração será removida e não haverá nenhum mecanismo compatível para permitir SHA-1, mesmo para certificados emitidos por suas Autoridades de Certificação não públicas, depois disso ”, Escreveu Munck.
A nova linha de base para o Edge 85 também adiciona uma política intitulada “Definir uma lista de protocolos que podem iniciar um aplicativo externo de origens listadas sem avisar o usuário”, o que significa que os usuários terão a opção de sempre permitir que os navegadores gerem aplicativos locais.
A Microsoft argumenta que essa mudança é necessária porque ver um prompt toda vez que um usuário clica em um link para aplicativos conhecidos, como Teams e Skype, os dessensibiliza para ameaças reais e cria reclamações para os departamentos de TI. A nova política, portanto, significa que os usuários receberão uma caixa de seleção para sempre permitir que o navegador inicie determinados aplicativos.
“Aproveitar essa configuração suprimirá essa solicitação e reduzirá o ruído para o usuário final, aprovando o conteúdo no nível empresarial. Reduzir as solicitações do usuário final melhora a produtividade do usuário e os ajuda a tomar melhores decisões quando uma solicitação inesperada aparece, reduzindo a fadiga da solicitação ”, escreveu Munck.
A Microsoft classifica sua lista completa de políticas do Edge como uma leitura de 313 minutos. Mas todos nós temos tempo em nossas mãos agora, então por que não pular?