Microsoft ha deciso di rimuovere dal suo Download Center tutti i file dotati di certificati creati con l'algoritmo di hash SHA-1 in quanto ritenuto non più sicuro, il cambiamento avverrà il 3 agosto.
È dal 2015 che i ricercatori della sicurezza informatica sanno che SHA-1 (Secure Hash Algorthm 1) è da considerare non più sicuro: gli aggressori che sfruttano le vulnerabilità dell'algoritmo sono in grado di creare falsificazioni dei certificati digitali per impersonare una società o un sito web.
Microsoft sta cercando di effettuare la sua transizione dai certificati di tipo SHA-1 ai più recenti e sicuri SHA-2, ad esempio quest'ultimo livello di sicurezza è già richiesto per l'installazione degli aggiornamenti tramite Windows Update. A partire dal 3 agosto, tutti i file presenti all'interno del Microsoft Download Center certificati tramite SHA-1 saranno rimossi per una maggiore sicurezza degli utenti.
"Per supportare l'evoluzione degli standard di sicurezza del settore e continuare a mantenere la vostra protezione e la vostra produttività, Microsoft ritirerà dal Microsoft Download Center il 3 agosto 2020 i contenuti firmati Windows con il Secure Hash Algorithm 1 (SHA-1). Questo è il prossimo passo dei nostri continui sforzi per adottare il Secure Hash Algorithm 2 (SHA-2), che soddisfa meglio i moderni requisiti di sicurezza e offre ulteriori protezioni dai comuni vettori di attacco".
"Microsoft non utilizza più l'SHA-1 per autenticare gli aggiornamenti del sistema operativo Windows a causa di problemi di sicurezza associati all'algoritmo e ha fornito gli aggiornamenti appropriati per spostare i clienti all'SHA-2 come precedentemente annunciato. Di conseguenza, a partire dall'agosto 2019, i dispositivi senza supporto SHA-2 non hanno ricevuto gli aggiornamenti di Windows. Se si fa ancora affidamento su SHA-1, si consiglia di passare a una versione di Windows attualmente supportata e ad alternative più forti, come SHA-2", ha dichiarato Microsoft nel proprio bollettino di supporto.
Nonostante Microsoft imponga per i propri contenuti l'utilizzo del più recente tipo di certificato, gli eseguibili per Windows realizzati da terze parti e firmati con SHA-1 saranno ancora funzionanti sul sistema. Se fate affidamento a dei vecchi file firmati SHA-1 di Microsoft, tuttavia, dovrete affrettarvi a scaricarne una copia dal Download Center prima della loro rimozione definitiva il 3 agosto.
Alla ricerca di una suite di sicurezza completa per i vostri PC? Kaspersky Internet Security 2020, licenza di un anno per 3 dispositivi, è in sconto su Amazon.