Еще в сентябре 2014-го Google начал борьбу с HTTPS-сертификатами, в которых для подписи использовалась хэш-функция SHA-1, как с недостаточно надежными. HTTPS-соединения с использованием таких сертификатов, при соблюдении ряда условий по сроку их годности, помечаются браузером Chrome как ненадежные (желтый треугольник с восклицательным знаком или красный крест).
Google использует довольно запутанную схему, из-за которой чем дальше в будущем дата истечения сертификата с SHA-1, тем хуже он оценивается. Так, Яндекс.Деньги и PayPal до сих пор используют сертификаты, подписанные с применением SHA-1. Однако соединение с PayPal считается браузером безопасным (сертификат истекает в апреле 2015), а вот соединение с Яндекс.Деньгами показывается, как имеющее проблемы с безопасность (сертификат истекает в декабре 2016-го).
Читатель Roem.ru обратил внимание технической поддержки Яндекс.Денег на проблему в январе этого года (тикет #2015013133001822), однако, получил совет не использовать Google Chrome и сменить браузер.
Особенно странно совет сменить браузер смотрится на фоне заявления "Яндекса" в корпоративном блоге на "Хабре":
SHA-1 уже сегодня официально считается небезопасным и постепенно выводится из употребления. Так Яндекс.Браузер и другие браузеры семейства Chromium в ближайшие месяцы начнут помечать сертификаты, которые подписаны с использованием SHA-1 и срок действия которых истекает после 1 января 2016 года, как небезопасные.
Однако, в той же записи на "Хабре" может содержаться ответ на то, почему "Яндекс" не спешит перевыпускать сертификат:
Все новые сертификаты правильно подписывать с использованием SHA-256. К сожалению, не все браузеры и OS (WinXP < sp3) поддерживают данную хеш-функцию, и для по-настоящему больших ресурсов это может грозить потерей клиентов.
Кажется, компании находятся перед выбором: перевыпустить сертификат, чтобы у пользователей не возникало сомнений в безопасности соединения, но отпугнуть клиентов, сидящих на операционной системе 11-ти летней давности (SP2 вышел в 2004 году), или учить пользователей игнорировать предупреждения Chrome и Яндекс.Браузера о небезопасном соединении.
Добавить 7 комментариев
С мейл.ру такая же беда, сегодня наткнулся: https://cloclo18.datacloudmail.ru/weblink/get/cc8131bf040a/MGF-N900XXUEBOA6-20150213114044.zip?x-email=undefined
Кстати, а как там с сертификатами Майкрософт и Нокии в Хроме, а?
Когда Яндекс.Браузер будет на основе нынешней версии Хрома, то же самое будет показывать, на месяц-два они отстают, вроде бы?
> Однако соединение с PayPal считается браузером безопасным (сертификат истекает в апреле 2015), а вот соединение с Яндекс.Деньгами показывается, как имеющее проблемы с безопасность (сертификат истекает в декабре 2016-го).
О таком поведении было предупреждено ещё полгода назад:
==
Chrome 41 (Branch point in Q1 2015)
Sites with end-entity certificates that expire between 1 January 2016 and 31 December 2016 (inclusive), and which include a SHA-1-based signature as part of the certificate chain, will be treated as “secure, but with minor errors”.
==
http://googleonlinesecurity.blogspot.ru/2014/09/gradually-sunsetting-sha-1.html
Предупреждение выдаётся именно на долгие сертификаты с sha1
> «MGF-N900XXUEBOA6-20150213114044.zip 1.2Гб, 13 февраля 2015»
1,2 ГБ? Что там? Архив вашей переписки лет за 10 плюс пара фильмов?
> 1,2 ГБ? Что там? Архив вашей переписки лет за 10 плюс пара фильмов?
Прошивка для Galaxy Note 3.
to cwm
> Когда Яндекс.Браузер будет на основе нынешней версии Хрома, то же самое будет показывать, на месяц-два они отстают, вроде бы?
И Яндекс.Браузер и Google Chrome и Опера и Safari (от Apple) строятся на базе Chromium который совместно пилят. В основе которого ещё KHTML из мира Linux.
@fogree Ну ок, ок, «на основе нынешней версии Chromium». Только отличия её от Хрома практически косметические:
http://en.wikipedia.org/wiki/Chromium_%28web_browser%29#Differences_from_Google_Chrome