Criptografar como dizemos, não como fazemos: os certificados da NSA e SHA-1

A NSA agora recomenda assinaturas de certificado SHA-384 - mas sua página de anúncio está protegida com um certificado SHA-1 (e lança um grande aviso antigo).

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

As Bruce Schneier e outros relataram, seus amigos da Agência de Segurança Nacional Direcção de Garantia de Informação (IAD) publicou recentemente um FAQ sobre seu novo Commercial National Security Algorithm Suite, destinado a proteger os sistemas de segurança nacional contra a ameaça iminente da computação quântica. Entre suas recomendações está o uso de SHA-384 para assinar certificados (um passo acima do SHA-2, o padrão atual do setor).

Um pequeno problema com o link do IAD para suas perguntas frequentes - ele lança esta mensagem quando clicado:

IAD_SOL
Uma verificação rápida em SSL Shopper mostra que o certificado para iad.gov usa uma assinatura SHA-1 obsoleta (e perigosa) e, aparentemente, tem uma cadeia de confiança quebrada para inicializar - problemas sérios o suficiente para serem sinalizado de vermelho Por todos navegadores modernos.

Mais uma prova, acreditamos, de que a segurança é difícil de ser perfeita - mesmo quando você é um ramo da NSA.

O link (inseguro como está escrito) para o O IAD FAQ está aqui - Use por sua conta e risco.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.