Разработчики Mozilla присоединились (https://blog.mozilla.org/security/2014/09/23/phasing-out-cer... к инициативе Google (https://groups.google.com/a/chromium.org/forum/#!msg/blink-d... и Microsoft (http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-depre... по выводу из обихода сертификатов, подписанных с использованием SHA-1. Инициатива подразумевает прекращение выпуска сертификатов с подписью SHA-1 начиная с 1 января 2016 года и полное прекращение доверия к таким сертификатам с 1 января 2017 года. Вместо SHA-1 для формирования подписи рекомендуется использовать SHA-256, SHA-384 или SHA-512.
Несмотря на то, что настоящее время подавляющие большинство (http://news.netcraft.com/archives/2014/05/05/sha-2-very-cryp... HTTPS-сайтов всё ещё используют сертификаты, подписанные SHA-1, в обозримом будущем безопасность SHA-1 находится под вопросом (http://arstechnica.com/security/2012/10/sha1-crypto-algorith...Если в 2012 году затраты на подбор коллизии (http://en.wikipedia.org/wiki/SHA-1#Attacks) в SHA-1 оценивались в 2 млн долларов, то к 2015 году прогнозируется (https://shaaaaaaaaaaaaa.com/) уменьшение стоимости до 700 тысяч, к 2018 году до 173 тысяч, а к 2021 до 43 тысяч долларов.<center><a href="http://news.netcraft.com/archives/2014/05/05/sha-2-very-cryp... src="http://www.opennet.me/opennews/pics_base/0_1410238799.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border="0"></a></center>
Как и в случае (http://www.opennet.me/opennews/art.shtml?num=40534) с Chrome прекращение поддержки SHA-1 в Firefox будет осуществлено поэтапно. На первом этапе для всех сертификатов c подписью SHA-1 в Web Console планируется обеспечить вывод предупреждения для разработчиков о возможных проблемах с безопасностью. Если срок действия такого сертификата истекает после 1 января 2017 года планируется показать более заметное предупреждение. Вывод предупреждений появится в выпуске Firefox 35, запланированном на 6 января 2015 года. В более поздних выпусках будет реализован специальный индикатор о недоверительном соединении, который будет выводиться только для сертификатов c подписью SHA-1, выписанных после 1 января 2016 года. С 1 января 2017 года сообщение о небезопасном соединении будет выводиться для всех сертификатов c подписью SHA-1.
URL: https://blog.mozilla.org/security/2014/09/23/phasing-out-cer.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40661
Где можно глянуть прайс стоимости подбора коллизии для других алгоритмов?
Прайс стоимости?
прайс стоимости цены коллизии :)
http://www.opennet.me/openforum/vsluhforumID3/99023.html#4
тебе-то зачем?
Присоединяюсь к вопросу, граммарнаци идут пешим ходом.
В АНБ
https://www.schneier.com/blog/archives/2012/10/when_will_we_...