Abuse Melding

Je hebt een klacht over de onderstaande posting:

24-02-2017, 22:52 door Anoniem

Door Anoniem: [...] kan iemand mij uitleggen waarom je nooit iemand hoort over de certificate tree waarbij de hoogste in de tree eigenlijk in bijna alle gevallen nog op SHA1 werkt. Ik snap dat het veel werk is om overal de rootcertificates bij te werken. Maar ze zouden toch al kunnen beginnen met een aanzet hierin, en daar zie ik ook weinig van. Inderdaad, mijns inziens mogen ze hier ook al mee beginnen alhoewel het risico vele malen kleiner is: een root certificate is self-signed (de hash-waarde wordt digitaal ondertekend) en staat geïnstalleerd op de client's PC. Het certificaat is dus al vertrouwd en een hash-collision kan hoogstens ervoor zorgen dat het certificaat onopgemerkt vervangen kan worden in de trust-store. Al heb je dan al een ander groot probleem, als een aanvaller je trust-store kan manipuleren! Door Anoniem:Weet iemand trouwens een goede site waar je kunt testen of je browser correct ingesteld staat voor SHA-1 weigeren? Heb wel sites gezien waar je een server kunt laten testen, maar niet ...

Beschrijf je klacht (Optioneel):

captcha