форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
Сообщение от opennews (??) on 21-Дек-15, 23:43
Компания Google опубликовала (https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o...) обновлённый план прекращения поддержки SHA-1 в браузере Chrome, в соответствии с которым поддержка будет прекращена не 1 января 2017 года, а 1 июля 2016 года. Ранее, после выявления (https://www.opennet.ru/opennews/art.shtml?num=43124) новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, аналогичное решение было принято (https://www.opennet.ru/opennews/art.shtml?num=43172) разработчиками Firefox. При этом, доверие к новым сертификатам на базе SHA-1, выписанным после 1 января 2016 года, будет прекращено уже начиная с  Chrome 48, выпуск которого ожидается в начале 2016 года (в июле доверие будет прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты их создания). По мнению Google пдобное изменение не должно негативно отразиться на работе сайтов, так как удостоверяющим центрам предписано (https://cabforum.org/baseline-requirements-documents/)  с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. Тем временем компания Facebook не согласна с новыми требованиями и предупредила (http://arstechnica.com/security/2015/12/sha1-sunset-will-blo.../), что прекращение использования SHA-1 может оставить без шифрования десятки миллионов пользователей. По данным Facebook около 7% находящихся в обиходе браузеров не поддерживают алгоритм хэширования SHA256, который упомянут в качестве минимального требования после устаревания SHA-1. По данным CloudFlare около 37 млн пользователей не смогут работать с сертификатами, подписанными с использованием SHA256. Таким образом, в условиях возможности подбора коллизии для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов, вред от оставления десятков миллионов пользователей без шифрования превышает опасность от провеления целенаправленных атак на SHA-1 для этих пользователей. В качестве решения проблемы Facebook  и CloudFlare предлагают реализовать запасной вариант, разрешив установку HTTPS-соединений с применением сертификатов на базе SHA-1, но только при условии, что браузер клиента не поддерживает SHA256 и более надёжные хэш-функции. Facebook планирует реализовать данный метод для всех своих сайтов, а CloudFlare для всего трафика своих клиентов. К инициативе также подключился китайский портал Alibaba. Для более широкого распространения данной идеи предложено изменить требования (https://cabforum.org/baseline-requirements/) к удостоверяющим центрам, введя в обиход новый класс сертификатов LV (Legacy Validated), заверенных с использованием SHA-1. При этом LV-сертификат можно будет выдавать только в том случае, если организация уже имеет сертификат на базе SHA256 и продемонстрировала его использование для современных браузеров. URL: https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o... Новость: https://www.opennet.ru/opennews/art.shtml?num=43565
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+2 +/–
Сообщение от Аноним (??) on 21-Дек-15, 23:52
С мобильными браузерами нынче как пятнадцать лет назад с десктопными - необновлённых больше, чем свежих.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Google досрочно прекратит поддержку SHA-1 в Chrome"	–7 +/–
Сообщение от Аноним (??) on 22-Дек-15, 02:01
> оставления десятков миллионов пользователей без шифрования Так надо этих пользователей оставить не без шифрования а без доступа к сайтам вообще. Это очень просто - закoпать несекурный HTTP пора очень давно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+2 +/–
	Сообщение от Аноним (??) on 22-Дек-15, 05:37
	Ведь у всех есть деньги на покупку нового девайса. В африке там, в Индии.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	23. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от paulus (ok) on 22-Дек-15, 12:38
	таки да, в экСовке у всех бабла валом ;)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	9. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Аноним (??) on 22-Дек-15, 08:18
	> закoпать несекурный HTTP пора очень давно. Например я, вот, хочу фильтровать, логировать и изменять собственный web-траффик установленным тут же на локалхосте прокси-сервером, а также не вижу лично для себя никакого смысла шифровать всё подряд (кроме пересылки паролей, личных сообщений и тому подобного). Почему Вы делаете выбор за меня?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+2 +/–
	Сообщение от Аноним (??) on 22-Дек-15, 10:01
	Так запили себе MitM и свой корневой сертификат себе добавь.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+1 +/–
	Сообщение от Аноним (??) on 22-Дек-15, 10:04
	А что так можно?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	17. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Snaut (ok) on 22-Дек-15, 10:37
	> А что так можно? можно и даже на уровне государства Казахстан внедряет свой CA для прослушивания всего TLS-трафика http://habrahabr.ru/post/272207/
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	25. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+1 +/–
	Сообщение от Аноним (??) on 22-Дек-15, 23:55
	>> А что так можно? > можно и даже на уровне государства > Казахстан внедряет свой CA для прослушивания всего TLS-трафика > http://habrahabr.ru/post/272207/ Заипётся. Это дырища в нацбезопасности размером с штат Техас. Только они еще этого не поняли. Масштабный банковский кризис хорошо прочистит мозги недоумкам из правительства.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	26. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Snaut (ok) on 23-Дек-15, 11:19
	>>> А что так можно? >> можно и даже на уровне государства >> Казахстан внедряет свой CA для прослушивания всего TLS-трафика >> http://habrahabr.ru/post/272207/ > Заипётся. Это дырища в нацбезопасности размером с штат Техас. Только они еще > этого не поняли. Масштабный банковский кризис хорошо прочистит мозги недоумкам из > правительства. Админ, владеющий закрытым ключом наверное сразу станет самым лакомым кусочком для преступных элементов)
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	24. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Аноним (??) on 22-Дек-15, 23:54
	> А что так можно? Открой для себя SSL Bump.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

5. "Google досрочно прекратит поддержку SHA-1 в Chrome"	–1 +/–
Сообщение от Аноним (??) on 22-Дек-15, 02:08
Мужик сказал - мужик сделал. Гугл в лучших традициях!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
Сообщение от pavlinux (ok) on 22-Дек-15, 02:15
Если они все так переживают за безопасность клиентов, ну выдай ты 100500 предупреждений, что "Клиент, ты - дятел, и если тебя хакнут, сам виноват будешь!"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Crazy Alex (ok) on 22-Дек-15, 04:15
	И будет туча недовольных задолбанных клиентов. А так - стерпят. Предупреждения хороши там, где они предсказуемы. К примеру, когда рута просишь - можно хоть десять ставить. А когда человек бродит по страничкам - он прибить кого-нибудь захочет после десятого выскочившего окошка. А так - юзеру просто напомнят о том, что он наверняка и сам знает - что пользуется каким-то старьём. И виноват будет он сам или админ, а не гугл.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
Сообщение от Аноним (??) on 22-Дек-15, 10:00
Ну и зря, сделали план - так придерживайтесь. Какой смысл тогда вообще в этих заявлениях, если они всё двигают как хотят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от 10й Брейтовский переулок on 22-Дек-15, 10:06
	Ты прикинь, жизнь вносит коррективы!
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Аноним (??) on 22-Дек-15, 10:13
	SHA-1 протух несколько быстрее чем ожидалось.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
Сообщение от Аноним (??) on 22-Дек-15, 10:23
По расчетам Брюса Шнайера прогнозируемая стоимость оборудования для подбора коллизии("взлома") sha-1 будет равна: ~ $700K в 2015 г. ~ $173K в 2018 г. ~ $43K в 2021 г. https://www.schneier.com/blog/archives/2012/10/when_will_we_... т. е. "взлом" уже доступен спецслужбам и крупным корпорациям.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Snaut (ok) on 22-Дек-15, 10:39
	> По расчетам Брюса Шнайера прогнозируемая стоимость оборудования для подбора коллизии("взлома") > sha-1 будет равна: > ~ $700K в 2015 г. > ~ $173K в 2018 г. > ~ $43K в 2021 г. > https://www.schneier.com/blog/archives/2012/10/when_will_we_... > т. е. "взлом" уже доступен спецслужбам и крупным корпорациям. АНБ в первую очередь принимала участие в разработке SHA-256. Угадай почему? Вот еще статья для размышлений. https://www.opennet.ru/opennews/art.shtml?num=43543
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
Сообщение от Аноним (??) on 22-Дек-15, 10:27
>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, git все?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Andrey Mitrofanov on 22-Дек-15, 10:42
	>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, > git все? Нет.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	20. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Andrey Mitrofanov on 22-Дек-15, 10:43
	>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, > git все? Давно. http://mikegerwitz.com/papers/git-horror-story.html
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	21. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Andrey Mitrofanov on 22-Дек-15, 11:05
	>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, > git все? Не дождётесь. Привет хозяевам. https://github.com/git/git/commit/844a9ce47208de173341525c15... https://github.com/git/git/commit/5455ee0573a22bb793a7083d59... https://github.com/git/git/commit/a916cb5fb4824322d7e99b1b0e... https://www.spinics.net/lists/git/msg262875.html http://git.661346.n2.nabble.com/PATCH-v3-00-13-object-id-par...
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	22. "Google досрочно прекратит поддержку SHA-1 в Chrome"	+/–
	Сообщение от Andrey Mitrofanov on 22-Дек-15, 11:07
	>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, > git все? Вам будет аполезно: http://issha1brokenyet.com/
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема