As Bruce Schneier et d'autres l'ont signalé, vos amis de la National Security Agency Direction de l'assurance de l'information (IAD) a récemment publié une FAQ concernant sa nouvelle suite d'algorithmes de sécurité nationale commerciale, destinée à assurer la pérennité des systèmes de sécurité nationale contre la menace imminente de l'informatique quantique. Parmi leurs recommandations figure l'utilisation du SHA-384 pour signer des certificats (une SHA-2, norme industrielle actuelle).
Un petit problème avec le lien de l'IAD vers leur FAQ - il envoie ce message lorsque vous cliquez dessus:
Une vérification rapide à SSLAcheteur montre que le certificat de iad.gov utilise une signature SHA-1 obsolète (et dangereuse), et a apparemment une chaîne de confiance brisée pour démarrer - des problèmes suffisamment graves pour drapeau rouge par tous navigateurs modernes.
Une preuve supplémentaire, nous supposons, que la sécurité est difficile à atteindre, même lorsque vous êtes une branche de la NSA.
Le lien (non sécurisé à ce jour) vers le La FAQ IAD est ici - À utiliser à vos risques et périls.
