Комментарии 38
Хром диктует всем свои условия? В данном конкретном случае это очень хорошо, но вообще настораживает.
+17
Ну гугл делает то что считает нужным, никто же не заставляет пользоваться их продуктами.
Если так прикинуть то для большей части «сайтодержателей» это побоку, а тем кому нужно вполне могут сменить сертификаты — увеличить безопасность и показать пользователям что им не безразлична безопасность их данных.
Если так прикинуть то для большей части «сайтодержателей» это побоку, а тем кому нужно вполне могут сменить сертификаты — увеличить безопасность и показать пользователям что им не безразлична безопасность их данных.
+2
Может бы я чего-то не понимаю, но сейчас удалось найти ровно один сайт с SHA-256 в сертификате — тестовую страницу Symantec CA:
ssltest39.ssl.symclab.com/
ssltest39.ssl.symclab.com/
+3
SHA256 это уже подвариант SHA2 если не ошибаюсь.
0
SHA-1 — это 160 битный ключ.
0
Спасибо за пояснения, а то меня смутила надпись SHA-1 в браузерах.
0
Простите, а SHA это вообще с каких пор ключ? Это алгоритм, причем хеширования. И используется для хеш-сигнатур, но никак не для шифрования.
0
На самом деле не всё так страшно, автор топика забыл перевести вторую половину предупреждения:
HTTPS sites whose certificate chains use SHA-1 and are valid past 1 January 2017 will no longer appear to be fully trustworthy in Chrome’s user interface.
+16
Кстати, Microsoft тоже прекратит принимать сертификаты с SHA-1 после 1 января 2017:
technet.microsoft.com/library/security/2880823
technet.microsoft.com/library/security/2880823
+2
Насколько я понимаю, от SHA-1 давно пора отказаться, старая она. Но никто, кроме гугла, не может принять волевое решение «с завтрашнего дня SHA-1 сертификаты небезопасны», и поэтому назначают даты в отдаленном будущем.
+1
Может быть кто как хочет, тот так и поступает?
Ведь нет:
1) законов
2) крипто-комьюнити (единого!), которое решает, хорошо SHA-1 или плохо.
Кстати, кроме длины ключа, SHA-1 весьма неплохой хеш.
Ведь нет:
1) законов
2) крипто-комьюнити (единого!), которое решает, хорошо SHA-1 или плохо.
Кстати, кроме длины ключа, SHA-1 весьма неплохой хеш.
0
давно пора
0
shaaaaaaaaaaaaa.com/ вот тут есть проверка для доменов, и куча инструкций как сделать сертификаты с SHA-2
+4
Забавно, но домены google.com и google.ru используют алгоритм подписи SHA-1
+2
Большинство сайтов в интернете используют сертификаты с SHA-1. my.webmoney.ru, yandex.ru/, tcsbank.ru, telebank.ru, навскидку.
0
Как это хорошо выглядит с учётом предупреждений о безопасности в Chrome. Для внутреннего сайта заиспользовали SHA512, что вылилось в истерику Хрома о небезопасном соединении. Анализ показал, что TLS1.2 не работает с данными сертификатами (во всяком случае в нашей конфигурации), Хром переходит на TLS1.1 и злобно истерит о проблемах с небезопасным соединением. При этом, если на сервере ограничить соединение максимальной версией TLS1.1, тот же Хром уже рапортует о безопасном и корректном соединении. В общем, ничего не изменилось, но всё стало зелёным.
PS: Проблему решили использованием SHA384
PS: Проблему решили использованием SHA384
0
Интересно, наличие мощных ASIC-биткоин-майнеров упрощает подделку сертификатов?
0
SHA — это не алгоритм шифрования, а хэш-функция, типа MD5.
+2
Автор поста видимо совсем не в теме и переводил левой пяткой. Речь идёт про алгоритм хэширования, который используется при цифровой подписи. В данном случае — при подписи сертификата удостоверяющим центром. А поскольку закон Мура никто не отменял, то пора переходить на хэши с большей длиной суммы.
+2
WinXP SP2 (и младше) не понимает SHA2. Я об этом узнал, когда обновил SSL-сертификат на своём сайте, а он как раз оказался уже SHA2. После этого примерно раз в неделю мне стали писать счастливые обладатели XP, которых «сайт не пускает». Кого-то удалось убедить обновиться хотя бы до SP3, кого-то нет…
-1
Windows XP SP2 — end-of-life и проблемы этих негров никого не волнуют уже лет пять. ;)
+2
Как только какой-нибудь из этих негров окажется клиентом с деньгами, отношение к ним изменится.
+1
Даже единичный клиент с деньгами окупит стоимость поддержки устаревшей ОС, которую не поддерживает даже сам ее производитель. Вдобавок, клиенты с деньгами а WXP SP2 не сидят, т.к. на современном железе ее давным-давно нет, а средний период жизни рабочих станций в крупных компаниях — около 3 лет.
0
Ну, я не буду спорить, потому что вижу этих клиентов своими глазами.
0
Если не секрет, то чем клиенты мотивируют своё нежелание обновляться? На SP2 многие приложения просто не работают.
0
Ну, не то чтобы нежелание — переписка завершалась на «ну, мы подумаем, у нас кроме вас всё работает, вот когда компьютерщик вернётся…». Мы же общаемся обычно с не особо компьютерно-грамотными людьми.
Я понимаю, что от sha2 мы никуда не денемся в конечном счёте, просто надо быть готовым и к таким последствиям.
Я понимаю, что от sha2 мы никуда не денемся в конечном счёте, просто надо быть готовым и к таким последствиям.
0
протокол шифрования SHA-1
такого протокола не существует, есть только алгоритм криптостойкой хэш функции SHA-1
такого протокола не существует, есть только алгоритм криптостойкой хэш функции SHA-1
+1
PKCS #1 SHA-1 With RSA Encryption
Это мне выдало в информации по моему сертификату. Отказываться от SSL-шифрования, поскольку нормальный сертификат стоит ББ? (этот я брал Comodo PositiveSSL — лучший выбор по цене).
Сертификат брал недавно:
Order Date 2014-08-08 16:33:36
0
Недавно обновлял сертификат на сайте под томкатом. Внял увещеваниям godaddy, сделал sha-2 серт. И выяснил, что tomcat6 (и, кажется, вообще java6)+godaddy+sha2=проблема. Пришлось переделать сертификат под sha-1.
0
Напоминает ситуацию с Java — запускаешь консоль какой-нить сетевой девайсины, года так 2009, Java выдает предупреждение — мол версия устаревшая, обновитесь с Оракла. Иначе не дам работать — политики безопасности, понимаешь…
Не проблема — обновляемся, получаем блокировку — сертификат у вашего приложения несоответствующий, не буду я запускать его, несекурно. С матами откатываешь обновление, прописываешь в политиках явы — разрешать всё.
Security issue, да, но работать-то надо…
Не проблема — обновляемся, получаем блокировку — сертификат у вашего приложения несоответствующий, не буду я запускать его, несекурно. С матами откатываешь обновление, прописываешь в политиках явы — разрешать всё.
Security issue, да, но работать-то надо…
+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google Chrome: «закат» для SHA-1