Under dagen kommer det att hållas ett föredrag på CCC-konferensen i Berlin som hittills omgivits av mycket hysch-hysch.
Nu visar det sig att föredragets titel är "MD5 considered harmful today: Creating a rogue CA certificate". Det här har potential att bli riktigt dåligt.
Prenumerera på:
Kommentarer till inlägget (Atom)
4 kommentarer:
Nu vill vi se en checklista a la Nixon! "Håll hårt i gamla shadow-filer och ..." :)
Den checklistan blir väldigt kort:
1. Använd inte MD5.
Tyvärr har alla browsertillverkare redan bestämt att du ska lita på CA:er som använder MD5, så det är inte nödvändigtvis helt enkelt att låta bli.
Och du kan inte se på rot-certifikatet i din webbläsare vilken signaturalgoritm som CA:n använder. Metoden i rot-certifikatet självt är ju för självsigneringen som ändå ingen litar på. Där kan det stå SHA1 även om CA:n signerar med MD5, eller tvärt om...
Anonym; precis. Jag lärde mig den distinktionen för bara några minuter sen.
Skicka en kommentar