GitHub объявил, что перестанет использовать SHA‑1 в HTTPS на github.com и у партнёрских CDN. Сначала будет «учебное» отключение в июле, а окончательное — 15 сентября 2026; лучше проверить старые Git-клиенты, корпоративные прокси и интеграции заранее.
GitHub сообщил, что постепенно выводит из эксплуатации поддержку SHA‑1 в HTTPS на github.com и на своих CDN. Для большинства пользователей изменения пройдут незаметно, но старые браузеры, Git-клиенты и корпоративные сетевые «прослойки» могут внезапно перестать подключаться — особенно в день запланированного тестового отключения.
Что именно меняется
GitHub перестанет использовать SHA‑1 в HTTPS/TLS-конфигурации. Это затрагивает:
- открытие сайта GitHub в браузере;
- любые приложения, которые ходят в GitHub API по HTTPS;
- Git-клиенты, которые делают clone/fetch/push по HTTPS.
GitHub Enterprise Server под это изменение не попадает: речь именно про github.com (включая Enterprise Cloud и варианты с хранением данных по регионам).
Календарь отключения
GitHub расписал два ключевых шага:
- 14 июля 2026 — brownout (временное отключение) с 00:00 до 18:00 UTC. Его цель — подсветить проблемные клиенты и дать время на обновление. CDN при этом не должны пострадать.
- 15 сентября 2026 — полное отключение SHA‑1 в HTTPS/TLS для GitHub и партнёрских CDN.
Кого это может задеть на практике
Если у вас современная ОС и свежий браузер, вероятнее всего ничего делать не нужно. Риск выше, если встречается хотя бы один из сценариев:
- старый Git в сборочных агентах, на серверах или внутри контейнеров, которые годами не обновлялись;
- корпоративный прокси/SSL-inspection, который подменяет сертификаты и использует устаревшие настройки TLS;
- интеграции, где HTTPS реализован через старые библиотеки (старый OpenSSL, старые сборки libcurl и т. п.).
Как подготовиться: короткий чек‑лист
- Проверьте CI/CD и «железные» машины: где выполняются git clone/push по HTTPS (агенты, раннеры, билд-серверы, джобы в Kubernetes).
- Обновите Git и TLS-стек: Git сам по себе опирается на системные HTTPS-библиотеки (на Linux это часто OpenSSL). Иногда проблема не в Git, а в старой ОС.
- Прогоните тест подключений заранее: лучше сделать пробный clone/fetch из окружений, которые редко трогают (старые стенды, «архивные» сборочные узлы, удалённые филиалы).
- Согласуйте изменения с сетью/ИБ: если трафик идёт через перехватывающий прокси, попросите команду сети проверить актуальность TLS-настроек и цепочек сертификатов.
- Отметьте дату 14 июля 2026 в календаре: если что-то «упадёт» во время brownout, вы поймёте это не по жалобам пользователей, а по собственным алертам.
Почему GitHub это делает
SHA‑1 давно считается устаревшим для криптографических задач. Чем раньше инфраструктура избавляется от слабых алгоритмов, тем меньше «скрытых» точек риска остаётся в цепочке: от разработчика на ноутбуке до сборочного раннера и корпоративного прокси по пути.
