Компания Google опубликовала (http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1....) план прекращения поддержки сертификатов, подписанных с использованием SHA-1 из-за реалистичности в обозримом будущем атак, связанных с подбором коллизий для данного алгоритма хэширования. Процесс прекращения доверия к сертификатам, подписанным с применением SHA-1, начнётся в ноябрьском выпуске Chrome 39. На начальном этапе браузер будет выводить предупреждение, продолжая считать валидными сертификаты c подписью SHA-1, срок действия которых истекает после 1 января 2017 года (в адресной строке будет указан статус "безопасен, но содержит незначительные проблемы").
<center><a href="https://lh4.googleusercontent.com/8zJjOLttjWEJ0ZMAC5HSzmRx6O... src="http://www.opennet.me/opennews/pics_base/0_1410034351.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>В Chrome 40 для сайтов с такими сертификатами будет применён нейтральный индикатор, отображаемый для сайтов без шифрования.
<center><a href="https://lh6.googleusercontent.com/8XDvRpBc7mR0UdDH1mLKZ2wvHO... src="http://www.opennet.me/opennews/pics_base/0_1410034330.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>В Chrome 41, который ожидается в первом квартале 2015 года, подобные сайты будут помечены как небезопасные.
<center><a href="https://lh4.googleusercontent.com/rYYCjDTdqB3ar2vPea-Z8L2oud... src="http://www.opennet.me/opennews/pics_base/0_1410034308.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Одновременно, можно отметить результаты исследования (https://community.rapid7.com/community/infosec/sonar/blog/20...) эффекта от прекращения в Firefox 32 (http://www.opennet.me/opennews/art.shtml?num=40501) доверия к 1024-разрядным корневым сертификатам. Собранная статистика показывает, что в настоящее время в сети наблюдается более 107 тысяч сайтов подписанных с применением 1024-разрядных ключей. При этом лишь 30 тысяч сайтов при просмотре в Firefox сменят свой статус с защищённых на небезопасные, так как остальные используют просроченные сертификаты. Следует отметить, что центры сертификации были уведомлены о данном событии в мае. В общем виде организация NIST объявила устаревшими 1024-разрядные ключи RSA ещё в 2010 году и запретила их применение после 2013 года.URL: http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1....
Новость: http://www.opennet.me/opennews/art.shtml?num=40534
Ну-у-у-у, желаю SHA бы все! ©
Ага, научили бы свое поделие работе с сертификами нормальной, на мобильной версии p12 unknown file format, который даже скачать нельзя, мол я не знаю что это, потому тебе не надо.Это про андроид, но контора-то таже. - Пытался добавить свой корневой сертификат в список доверенных, требует пароль которого нет, пришлось добавлять сначала на винду, потом с нее экспортировать и пихать в андроид.
Лучше бы поддержку pem формата добавили, но конечно же, пиариатся в качестве санитара леса - выгоднее.
конвертируй с помощью openssl
а что можно чем-то другим конвертировать? о_О :)
Поддерживаю. Сто лет уже не могут научиться импорту/экспорту сертификатов... =(
Отказываются от SHA-1?
А в пользу чего? SHA-2, SHA-3?И можно ли верить корпорастам, особенно после откровений Сноудена?
Они ведь могут инициировать отказ от "старых небезопасных" алгоритмов только потому, что там нет бэк-доров, любезно пропихнутых АНБ в "новые и безопасные" алгоритмы."Каким именно термином называть то, что делают данные компании, — «недосмотр», «некомпетентность» или, скажем, «умышленное ослабление защиты», — это вопрос весьма непростой. Потому что документально найти и предъявить главный источник проблемы вряд ли кому-нибудь удастся (если только опять не найдется еще один борец за правду, вроде Сноудена или Мэннинга, и не сольет соответствующие документы в Интернет)."
http://www.3dnews.ru/655897
> А в пользу чего?В пользу АНБ.
В пользу электронной подписи
> В пользу электронной подписиДык ЭЦП и есть шифроблок от хэша - ниожядаль?
Новость-то почитай, там краз грица, что ША-1 юзали для ЭЦП.
>А в пользу чего? SHA-2, SHA-3?просто отказываются.
Перейдя по ссылкам из статьи, можно наткнуться на статью конкретно по этой теме:
https://www.schneier.com/blog/archives/2005/02/cryptanalysis...В третьем же комменте - мат.часть причины.
Это, если я правильно понял, по поводу "Потому что документально найти и предъявить главный источник проблемы вряд ли кому-нибудь удастся".
Интересно когда Git от SHA1 откажется?
Никогда
При этом сам гугл активно подписывает сертификаты SHA-1, как и многие другие...
(сертификат для *.google.com.ru от Google Internet Authority G2 имеет Certificate Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption)
ну так что вам не нравится - будет в 2015м году отображаться как небезопасный. Как оно и есть, если вдуматься.
Так а что вместо SHA-1 использовать?
Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.
