- Kayıt
- 3 Nisan 2008
- Mesaj
- 2.630
- Tepki
- 89
Firma güvenlik duyurusunun ardından hashing fonksiyonunu değiştirdi. VeriSignSSL sertifikaları firmaların web sitelerinin güvenli ve otantik olduğunu kanıtlamada kullandıkları en genel yollardan biridir. SSL (Secure Sockets Layer) sertifikasyon teknolojisindeki, kötü amaçlı kişilerin sahte sertifikalar yaratabilmesini sağlayan, bir hatayı giderdi.
“çarpışma saldırısı” adı verilen metodla kullanılan hata ilk olarak Chaos Communication Congress kongresinde geçen hafta yayınlanmıştı ve RapidSSL otoritesi tarafından yaratılan sertifikalardaki MD5 hashing algoritmasını hedefliyordu.
VeriSign firmasından Tim Callan blog yazısında “Bu prezentasyon bize MD5 collision saldırılarını akıllıca yapılan bir hacking ile birleştirip nasıl sahte sertifikalar yaratılabileceğini gösterdi” diyor. “Çıkardığımız RapidSSL sertifikalarında MD5 kullanmayı bıraktık ve diğer tüm SSL seritifikalarımızın bu saldırıdan etkilenmediğini onayladık.”
VeriSign artık yeni RapidSSL sertifikalarında SHA-1 algoritması kullanıyor ve mevcut müşterilerinin MD5 sertifikalarını ücretsiz olarak değiştireceklerini söylüyor.
Callan ayrıca firmanın tüm sertifikalarında bu ay sonundan itibaren MD5 kullanımını bırakacağını belirtiyor.
Danışmanlık firması Evolution Security Systems müdürü Matthew Tyler MD5 açığının neden sertifika otoritelerinin en son güvenlik tehditleri konusunda “hızlı olmaları” gerektiğini vurguladığını söylüyor.
“Bilgisayarların gücü arttıkça algoritmaların da bu değişime uyması gerekiyor. MD5 18 yıl önce yaratıldı ve 12 yıl önce 1996′da kullanılmaya başlanmadan önce de problemleri tespit edilmişti”
“MD5 eski bir hashing algoritması ve onun yerine daha güvenli olan SHA-1/2 ve 2012 de çıkacak olan SHA-3 kullanılmalı”.
Haber: http://www.infomaticsonline.co.uk/vnunet/news/2233256/verisign-addresses-ssl-flaw
Ref: https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php
Ref: http://www.rapidssl.com/
Ref: http://www.verisign.com/
kaynak: http://www.olympos.org/haberler/dijital-sertifika/verisign-ssl-sertifika-hatasini-duzeltti-93800.html
