美国有着世界一流的情报探听和黑客项目,不过其官方的.mil网站却还在采用非常老旧的不安全的连接方式。Netcraft最近对美国军方的一系列网站进行了分析,发现其中绝大部分站点还在采用较老的SHA-1算法签名安全证书。
2014年伊始,美国国家标准与技术协会(NIST)就禁止CA(证书颁发机构)发布新的SHA-1签名证书,绝大部分CA都如此执行了。最近一项研究指出,破解SHA-1加密连接所需费用已经降低至75000-120000美元,或许美国军方真该正视这个现实,美国国防部还在颁发许多SHA-1签名证书。
而且更糟糕的是,这些证书并不是在2014年2月之前发布的,虽说NIST先前已经明确了SHA-1当前安全属性不佳的事实,但最近颁发的此类证书还是可以在今年2月份觅得踪迹。大概是我们过于高估了美国军方网站管理人员的技术水平。
上周由于SHA-1安全现状大不如前,Mozilla还决定加速迁移SHA-1的进程。不过当前整个互联网对于抛弃SHA-1算法似乎还没有做好充分的准备,约有超过100万家网站仍选择在生产级别的应用中部署SHA-1签名证书。