As Bruce Schneier e altri hanno riferito, i tuoi amici della National Security Agency Direzione della sicurezza delle informazioni (IAD) ha recentemente pubblicato una FAQ riguardante la loro nuova suite di algoritmi di sicurezza nazionale commerciale, intesa a rendere i sistemi di sicurezza nazionale a prova di futuro contro la minaccia incombente dell'informatica quantistica. Tra le loro raccomandazioni c'è l'uso di SHA-384 per firmare i certificati (un passo avanti rispetto a SHA-2, l'attuale standard del settore).
Un piccolo problema con il collegamento dello IAD alle loro FAQ: genera questo messaggio quando viene cliccato:
Un rapido controllo a SSLAcquirente mostra che il certificato per iad.gov usa una firma SHA-1 obsoleta (e pericolosa) e apparentemente ha una catena di fiducia interrotta per l'avvio: problemi abbastanza seri da essere bandiera rossa da tutti browser moderni.
Un'ulteriore prova, supponiamo, che la sicurezza è difficile da ottenere perfetta, anche quando sei una filiale della NSA.
Il link (insicuro-come-di-questa-scrittura) al Le domande frequenti su IAD sono qui - Utilizzare a proprio rischio.
