Under dagen kommer det att hållas ett föredrag på CCC-konferensen i Berlin som hittills omgivits av mycket hysch-hysch.
Nu visar det sig att föredragets titel är "MD5 considered harmful today: Creating a rogue CA certificate". Det här har potential att bli riktigt dåligt.
Nu vill vi se en checklista a la Nixon! "Håll hårt i gamla shadow-filer och ..." :)
SvaraRaderaDen checklistan blir väldigt kort:
SvaraRadera1. Använd inte MD5.
Tyvärr har alla browsertillverkare redan bestämt att du ska lita på CA:er som använder MD5, så det är inte nödvändigtvis helt enkelt att låta bli.
Och du kan inte se på rot-certifikatet i din webbläsare vilken signaturalgoritm som CA:n använder. Metoden i rot-certifikatet självt är ju för självsigneringen som ändå ingen litar på. Där kan det stå SHA1 även om CA:n signerar med MD5, eller tvärt om...
SvaraRaderaAnonym; precis. Jag lärde mig den distinktionen för bara några minuter sen.
SvaraRadera