Verschlüsseln Sie, wie wir sagen, nicht wie wir: Die NSA- und SHA-1-Zertifikate

As Bruce Schneier und andere haben berichtet, Ihre Freunde bei der National Security Agency Direktion für Informationssicherung (IAD) hat kürzlich eine FAQ zu ihrer neuen Commercial National Security Algorithm Suite veröffentlicht, mit der nationale Sicherheitssysteme gegen die drohende Bedrohung durch Quantencomputer zukunftssicher gemacht werden sollen. Zu ihren Empfehlungen gehört die Verwendung von SHA-384 zum Signieren von Zertifikaten (ein Schritt nach oben von SHA-2, der aktuelle Industriestandard).

Ein kleines Problem mit dem Link des IAD zu seinen FAQ: Beim Klicken wird diese Meldung ausgegeben:

IAD_SOL
Ein kurzer Blick auf SSLShopper zeigt, dass das Zertifikat für iad.gov verwendet eine veraltete (und gefährliche) SHA-1-Signatur und hat anscheinend eine unterbrochene Vertrauenskette zum Booten - Probleme, die ernst genug sind, um sie zu bekommen rote Flagge von allen moderne Browser.

Ein weiterer Beweis, wir vermuten, dass Sicherheit schwer zu perfektionieren ist - selbst wenn Sie ein Zweig der NSA sind.

Der (unsichere) Link zum IAD FAQ ist hier - Benutzung auf eigene Gefahr.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.