Сайты двух крупных банков США используют слабое шифрование

Эксперт, занимающейся кибербезопасностью государственной службы США 18F, Эрик Милл (Eric Mill) сообщил в своем блоге, что используемый множеством сайтов протокол SHA-1 обеспечивает слабое шифрование. По словам специалиста, пользователи обозревателя Chrome могли заметить, что при входе на сайты HSBC и Chase - двух крупных банков США, поле адресной строки не обозначается зеленым фоном, поскольку шифрование не является надежным.

Исследователь проекта CertSimple Mайк Маккана (Mike MacCana) сообщил ресурсу ZDNet, что из-за слабого шифрования два разных документа могут иметь один и тот же хэш. Таким образом, цифровая подпись может повторно использоваться злоумышленниками. Поэтому обозреватель Chrome помечает сайты HSBC и Chase как потенциально небезопасные.

Google заявила в официальном блоге, что с 2017 года все сайты с протоколом шифрования SHA-1 будут блокироваться в ее продуктах. Аналогичное решение приняли Microsoft и Mozilla.

Маккана также заявил, что большинство поставщиков SSL-сертификатов не взымают дополнительную плату за переход сайта на протокол SHA-2. По его словам, SHA-2-шифрование позволяет сайту предотвратить множество потенциальных кибератак.