SHA-1 deprecazione e certificati utilizzati internamente autodidattati [duplicato]

Naviga le tue risposte
0

Mi chiedevo se la deprecazione SHA-1 avrebbe creato problemi di sicurezza per i certificati già autofirmati (utilizzati internamente). Qual è la cosa giusta da fare in questo caso? Poiché la vulnerabilità scoperta non consente a un utente malintenzionato di creare un altro documento con lo stesso hash di un documento esistente, le organizzazioni che utilizzano certificazioni già esistenti non dovrebbero essere interessate, giusto?

L'algoritmo hash SHA-1 dovrebbe ancora essere consentito per questo scenario?

    
posta Haris 21.03.2017 - 11:03
fonte

1 risposta

5

I certificati autofirmati non sono interessati.

Con la possibilità di creare una collisione hash, un utente malintenzionato può creare due richieste di certificati, una per legit.com e una per evilattacker.com, con lo stesso hash. L'autorità di certificazione firmerà quindi legit.com e l'utente malintenzionato può utilizzare la firma per creare un certificato valido per evilattacker.com e viceversa.

Con i certificati autofirmati, controlli sia la richiesta che la firma, quindi questo scenario non si applica. Finché non firmi richieste di firma del certificato create da persone di cui non ti fidi, sei al sicuro.

È comunque consigliabile utilizzare le nuove funzioni hash per tutti i certificati futuri.

Modifica: si noti che si dipende anche da comportamento del browser se si desidera continuare a utilizzare i certificati SHA1.

    
risposta data 21.03.2017 - 11:15
fonte

Leggi altre domande sui tag

SSL crittografia AES128-GCM-SHA256 vs RC4-MD5 Il codice PHP dannoso può essere eseguito nella cache. Soluzione?