MENU
SecurityHost
PayPal ha inviato un’email a molti dei suoi utenti per informarli che gli aggiornamenti SSL saranno eseguiti sui loro server.
Ogni giorno, la sicurezza dei siti web dei nostri clienti viene protetta. Questo significa che dobbiamo controllare i loro siti e assicurarci che non stiano aggirando nessun firewall o che non vengano violati in qualche altro modo. Facciamo questo attraverso gli aggiornamenti sSL sui nostri server!Per cosa sta la ‘s’? Non è una sigla, ma un acronimo: SSL sta per Secure Sockets Layer; un protocollo utilizzato dai browser web come Chrome o Firefox quando si contattano fonti di dati su connessioni di rete HTTPS in modo che le informazioni trasmesse tra macchine/dispositivi client A) non possano essere lette se non intenzionalmente B). Inoltre crittografato utilizzando Transport Security Logic C), aggiungendo ulteriori livelli.
SHA-1 certificati saranno aggiornati a SHA-256. Alcune persone sono confuse su cosa devono fare quando ricevono queste email. Sia la posta elettronica che PayPal ha inviato e il post sul blog davano maggiori dettagli agli utenti con informazioni molto tecniche. Quindi, vorremmo spiegare ai nostri clienti come gli utenti finali saranno interessati dai cambiamenti di PayPal fa e che cosa devono fare per Eliminare la SSL SHA-1.
SHA-1 è un algoritmo di hash crittografico che viene utilizzato per la firma di certificati SSL.
Sebbene i certificati SSL siano di solito firmati digitalmente con un algoritmo SHA-256 o migliore, possono anche essere creati usando il più vecchio e debole SHA-1. Il processo di generazione di queste firme è noto come “posturing”Una spiegazione del perché si potrebbe voler utilizzare questo metodo obsoleto dipenderebbe dal fatto che la vostra applicazione si basa molto sulla crittografia, ma ha bisogno di una verifica dell’accessibilità per non dare alle persone un accesso non autorizzato durante la trasmissione – nel qual caso la firma di un certificato SSL con entrambi gli algoritmi potrebbe entrare in gioco; altrimenti non c’è una vera ragione perché fornisce solo una protezione aggiuntiva contro gli attacchi Message Digest 5/6 (MD5) nella migliore delle ipotesi, mentre fornisce zero benefici rispetto ai metodi di autenticazione 2FA come la generazione di token SMS.
Si suppone per generare una unica lumaca. In questo modo nessuno può progettare un certificato che un browser web avrebbe trovato indistinguibile dal certificato vero e proprio. In altre parole, l’algoritmo SHA-1 deve garantire che tutti i SZL sono unici e sono stati rilasciati da un’autorità di certificazione attendibile.
Purtroppo, l’algoritmo SHA-1 è molto vecchio. Negli ultimi 10 anni molti articoli di ricerca hanno dimostrato che è possibile un crack e sarebbe necessario eliminare la SSL SHA-1. Nel 2012 Jesse Walker ha stimato il costo di forgiare un certificato SHA-1. Secondo la sua ricerca che è stata fatta 3 anni fa, costerà solo $ 173K per forgiare un certificato SHA-1 nel 2018. Sappiamo che per i piccoli siti personali questo è un sacco di soldi. Tuttavia i computer stanno diventando sempre più veloci e fra non molti anni da oggi costerà letteralmente pochi centesimi forgiare SHA-1 dei certificati. Il fatto è che non esiste un modo semplice per sostituire automaticamente tutti i certificati SSL su Internet. Infatti anche l’aggiornamento di tutti i sistemi per supportare algoritmi di hash crittografici più recenti così gli utenti finali devono intraprendere azioni.
Google ha annunciato appena due settimane fa che il browser Chrome avrebbe mostrato gli avvertimenti a tutti gli utenti subito dopo un SHA-1 SSL sito abilitato è aperto. Noi incoraggiamo fortemente tutti i browser di fare lo stesso e informare gli utenti che SHA-1 siti web non sono ben protetti. Questo è l’unico modo per avere tutti i certificati SSL aggiornati prima che poi e di evitare attacchi alla sicurezza che potrebbero influenzare molti utenti.
Ti potrebbe interessare anche: Captcha: Cosa sono? Scopriamo di cosa si tratta!
