Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 38
Хром диктует всем свои условия? В данном конкретном случае это очень хорошо, но вообще настораживает.
Ну гугл делает то что считает нужным, никто же не заставляет пользоваться их продуктами.
Если так прикинуть то для большей части «сайтодержателей» это побоку, а тем кому нужно вполне могут сменить сертификаты — увеличить безопасность и показать пользователям что им не безразлична безопасность их данных.
Если так прикинуть то для большей части «сайтодержателей» это побоку, а тем кому нужно вполне могут сменить сертификаты — увеличить безопасность и показать пользователям что им не безразлична безопасность их данных.
Может бы я чего-то не понимаю, но сейчас удалось найти ровно один сайт с SHA-256 в сертификате — тестовую страницу Symantec CA:
ssltest39.ssl.symclab.com/
ssltest39.ssl.symclab.com/
SHA256 это уже подвариант SHA2 если не ошибаюсь.
SHA-1 — это 160 битный ключ.
Спасибо за пояснения, а то меня смутила надпись SHA-1 в браузерах.
Простите, а SHA это вообще с каких пор ключ? Это алгоритм, причем хеширования. И используется для хеш-сигнатур, но никак не для шифрования.
На самом деле не всё так страшно, автор топика забыл перевести вторую половину предупреждения:
HTTPS sites whose certificate chains use SHA-1 and are valid past 1 January 2017 will no longer appear to be fully trustworthy in Chrome’s user interface.
Кстати, Microsoft тоже прекратит принимать сертификаты с SHA-1 после 1 января 2017:
technet.microsoft.com/library/security/2880823
technet.microsoft.com/library/security/2880823
Насколько я понимаю, от SHA-1 давно пора отказаться, старая она. Но никто, кроме гугла, не может принять волевое решение «с завтрашнего дня SHA-1 сертификаты небезопасны», и поэтому назначают даты в отдаленном будущем.
давно пора
shaaaaaaaaaaaaa.com/ вот тут есть проверка для доменов, и куча инструкций как сделать сертификаты с SHA-2
Забавно, но домены google.com и google.ru используют алгоритм подписи SHA-1
Большинство сайтов в интернете используют сертификаты с SHA-1. my.webmoney.ru, yandex.ru/, tcsbank.ru, telebank.ru, навскидку.
Как это хорошо выглядит с учётом предупреждений о безопасности в Chrome. Для внутреннего сайта заиспользовали SHA512, что вылилось в истерику Хрома о небезопасном соединении. Анализ показал, что TLS1.2 не работает с данными сертификатами (во всяком случае в нашей конфигурации), Хром переходит на TLS1.1 и злобно истерит о проблемах с небезопасным соединением. При этом, если на сервере ограничить соединение максимальной версией TLS1.1, тот же Хром уже рапортует о безопасном и корректном соединении. В общем, ничего не изменилось, но всё стало зелёным.
PS: Проблему решили использованием SHA384
PS: Проблему решили использованием SHA384
Интересно, наличие мощных ASIC-биткоин-майнеров упрощает подделку сертификатов?
SHA — это не алгоритм шифрования, а хэш-функция, типа MD5.
WinXP SP2 (и младше) не понимает SHA2. Я об этом узнал, когда обновил SSL-сертификат на своём сайте, а он как раз оказался уже SHA2. После этого примерно раз в неделю мне стали писать счастливые обладатели XP, которых «сайт не пускает». Кого-то удалось убедить обновиться хотя бы до SP3, кого-то нет…
Windows XP SP2 — end-of-life и проблемы этих негров никого не волнуют уже лет пять. ;)
Как только какой-нибудь из этих негров окажется клиентом с деньгами, отношение к ним изменится.
Даже единичный клиент с деньгами окупит стоимость поддержки устаревшей ОС, которую не поддерживает даже сам ее производитель. Вдобавок, клиенты с деньгами а WXP SP2 не сидят, т.к. на современном железе ее давным-давно нет, а средний период жизни рабочих станций в крупных компаниях — около 3 лет.
Ну, я не буду спорить, потому что вижу этих клиентов своими глазами.
Если не секрет, то чем клиенты мотивируют своё нежелание обновляться? На SP2 многие приложения просто не работают.
Ну, не то чтобы нежелание — переписка завершалась на «ну, мы подумаем, у нас кроме вас всё работает, вот когда компьютерщик вернётся…». Мы же общаемся обычно с не особо компьютерно-грамотными людьми.
Я понимаю, что от sha2 мы никуда не денемся в конечном счёте, просто надо быть готовым и к таким последствиям.
Я понимаю, что от sha2 мы никуда не денемся в конечном счёте, просто надо быть готовым и к таким последствиям.
протокол шифрования SHA-1
такого протокола не существует, есть только алгоритм криптостойкой хэш функции SHA-1
такого протокола не существует, есть только алгоритм криптостойкой хэш функции SHA-1
PKCS #1 SHA-1 With RSA Encryption
Это мне выдало в информации по моему сертификату. Отказываться от SSL-шифрования, поскольку нормальный сертификат стоит ББ? (этот я брал Comodo PositiveSSL — лучший выбор по цене).
Сертификат брал недавно:
Order Date 2014-08-08 16:33:36
Недавно обновлял сертификат на сайте под томкатом. Внял увещеваниям godaddy, сделал sha-2 серт. И выяснил, что tomcat6 (и, кажется, вообще java6)+godaddy+sha2=проблема. Пришлось переделать сертификат под sha-1.
Напоминает ситуацию с Java — запускаешь консоль какой-нить сетевой девайсины, года так 2009, Java выдает предупреждение — мол версия устаревшая, обновитесь с Оракла. Иначе не дам работать — политики безопасности, понимаешь…
Не проблема — обновляемся, получаем блокировку — сертификат у вашего приложения несоответствующий, не буду я запускать его, несекурно. С матами откатываешь обновление, прописываешь в политиках явы — разрешать всё.
Security issue, да, но работать-то надо…
Не проблема — обновляемся, получаем блокировку — сертификат у вашего приложения несоответствующий, не буду я запускать его, несекурно. С матами откатываешь обновление, прописываешь в политиках явы — разрешать всё.
Security issue, да, но работать-то надо…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google Chrome: «закат» для SHA-1