Новости Software

Минобороны США продолжает использовать старые сертификаты подлинности сайтов

Министерство обороны США продолжает формировать сертификаты подлинности веб-ресурсов на основе хеша SHA-1. Речь идёт о ресурсах в доменной зоне «.mil».

При этом с 1 января требования к удостоверяющим центрам были изменены. Главным требование стало прекращение формирования SHA-1 сертификатов.

Следует понимать, что пока, при должном уровне рандомизации серийных номеров сертификатов, использование SHA-1 не является небезопасным. Технически сложно, хотя и реально подобрать необходимый хеш. Это требует довольно больших затрат в объёме 70–100 тысяч долларов. Однако браузеры уже начали помечать сайты, доступ к которым идёт через HTTPS, а сертификат подписан SHA-1 и выдан после 1 января 2016 года, как небезопасные.

При этом подобное отношение может в будущем, когда вычислительная мощность компьютеров вырастет, плохо сказаться на безопасности, поскольку такая отметка игнорируется сотрудниками при доступе к защищённым областям сайтов «.mil», что усыпляет бдительность и вырабатывает привычку не обращать внимание на выдаваемые браузером предупреждения. А это, в свою очередь, создаёт благоприятную почву для проведения MITM-атак.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥