en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Cripta come diciamo, non come facciamo: i certificati NSA e SHA-1

As Bruce Schneier e altri hanno riferito, i tuoi amici della National Security Agency Direzione della sicurezza delle informazioni (IAD) ha recentemente pubblicato una FAQ riguardante la loro nuova suite di algoritmi di sicurezza nazionale commerciale, intesa a rendere i sistemi di sicurezza nazionale a prova di futuro contro la minaccia incombente dell'informatica quantistica. Tra le loro raccomandazioni c'è l'uso di SHA-384 per firmare i certificati (un passo avanti rispetto a SHA-2, l'attuale standard del settore).

Un piccolo problema con il collegamento dello IAD alle loro FAQ: genera questo messaggio quando viene cliccato:

IAD_SOL
Un rapido controllo a SSLAcquirente mostra che il certificato per iad.gov usa una firma SHA-1 obsoleta (e pericolosa) e apparentemente ha una catena di fiducia interrotta per l'avvio: problemi abbastanza seri da essere bandiera rossa da tutti browser moderni.

Un'ulteriore prova, supponiamo, che la sicurezza è difficile da ottenere perfetta, anche quando sei una filiale della NSA.

Il link (insicuro-come-di-questa-scrittura) al Le domande frequenti su IAD sono qui - Utilizzare a proprio rischio.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com