Минобороны США продолжило использование SHA-1 в новых сертификатах для доменов ".mil"
Несмотря на вступление в силу 1 января 2016 года требований к удостоверяющим центрам, регламентирующим прекращение использование SHA-1 при формировании цифровых подписей для сертификатов TLS/SSL, Министерство обороны США продолжило формирование заверенных SHA-1 сертификатов, применяемых для организации защищённых соединений к сайтам в доменной зоне ».mil».
При должной рандомизации серийных номеров сертификатов, использование SHA-1 пока не представляет практически реализуемых угроз, проблемы пока носят теоретический характер. Тем не менее, браузеры уже начали процесс прекращения поддержки SHA-1 и помечают как незащищённые сайты, доступ к которым по HTTPS осуществляется с сертификатом, подписанным SHA-1 и выданным после 1 января 2016 года. Подобная пометка игнорируется сотрудниками при доступе к защищённым областям сайтов .mil, что усыпляет бдительность и вырабатывает привычку не обращать внимание на выдаваемые браузером предупреждения, что создаёт благодатную почву для проведения MITM-атак.
Применительно ко всей Сети, в обиходе находится около 650 тысяч SSL-сертификатов, использующих SHA-1, но почти у всех из них время жизни истекает в 2016 году.
© OpenNet