パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」」記事へのコメント

  • ブロックや非サポートになるからアクセスできなくなる。
    SSLでない(=安全な接続でない)のはアクセスできるのに、SHA1(=そこそこ安全な接続)のはアクセスできないって対応の仕方はどこかおかしい。
    デッカク「SHA1は危ないかもよ!非SSLも危ないかもよ!」って警告する程度にしてもらいたい

    • Mozillaはその対応ですね。ぱっと見有効期限が切れてる証明書とかと似たような警告の画面が表示される模様。
      SHA1証明書に対する各社の対応@サイバートラスト [cybertrust.ne.jp]

      まぁSHA1証明書が今後廃止に向けて動くってのは間違い無いですし、
      徐々に対応してもらえば良いんじゃないでしょうか。

      現状110GPU年であれば、よっぽど裕福なクラッカーでもない限り
      攻撃にソコソコ長時間掛かるので、事実上問題が出る前に
      収束するでしょうしね。

      #まぁSSL=安全って事でもないんだけどねぇ・・・
      #LetsEnclypt使えば無料でDV取れちゃうし、EV/OVとの表示の違いなんて気にしてる一般人なんて殆どいないしなー
      #IT系企業でもEVとかOVとかDVとか証明書の種類があることすら知らない人も居たりする位だからなぁ・・・

      親コメント
      • by Anonymous Coward

        まあ、or.jpやco.jpなら.comより安全とか思われてたりする嘘のような話が実際にあったりしますからね……

        たまにDVの販売ページとかを見つけてきて、安いからこれにしたらどうかと言われるけど毎回説明するのが面倒です。とはいえ私もEVじゃなきゃOVもDVも大差ないとは思っています。
        せめてOV発行している認証局はDV発行できないようにでもなってくれないと、OV入れているところが逆に情弱企業として認定されてしまいそうです。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...