As Bruce Schneier dan orang lain telah melaporkan, teman Anda di Badan Keamanan Nasional Direktorat Jaminan Informasi (IAD) baru-baru ini mengeluarkan FAQ mengenai Suite Algoritma Keamanan Nasional Komersial mereka yang baru, yang dimaksudkan untuk melindungi sistem keamanan nasional di masa depan terhadap ancaman komputasi kuantum yang membayang. Di antara rekomendasi mereka adalah penggunaan SHA-384 untuk menandatangani sertifikat (langkah maju dari SHA-2, standar industri saat ini).
Satu masalah kecil dengan tautan IAD ke FAQ mereka - pesan ini muncul ketika diklik:
Pemeriksaan cepat di Pembelanja SSL menunjukkan bahwa sertifikat untuk iad.gov menggunakan tanda tangan SHA-1 yang usang (dan berbahaya), dan tampaknya memiliki rantai kepercayaan yang rusak untuk boot - masalah yang cukup serius untuk ditangani berbendera merah oleh semua browser modern.
Bukti lebih lanjut, kami rasa, bahwa keamanan sulit untuk menjadi sempurna - bahkan ketika Anda adalah cabang NSA.
Tautan (tidak aman saat menulis ini) ke IAD FAQ ada di sini - gunakan dengan resiko Anda sendiri.
