VeriSign kończy z MD5

Ostatniego dnia ubiegłego roku pisaliśmy o prezentacji Alexa Sotirova i Jacoba Appelbaumapodczas 25. edycji Chaoe Communication Congress, która wywołałaniemałe wzburzenie w branży. Zademonstrowali oni sposób nawywołanie kolizji MD5 i tym samym podrobienie certyfikatuSSL. Nie trzeba było długo czekać na pierwsze reakcje. Firma VeriSign, jeden z największychwystawców certyfikatów ogłosiła zaprzestanie korzystania zpodważonego przez Sotirova i Appelbauma algorytmu hashującego wswoich certyfikatach na rzecz SHA-1. Przypomnijmy, że MD5 był jak dotąd wykorzystywany w certyfikatachRapidSSL. Jak zapewniaVeriSign, były to jedyne certyfikaty tej firmy podatne na atak.Wystawca obiecuje dodatkowo, że certyfikaty wystawione z hashem MD5zostaną wszystkim klientom RapidSSL nieodpłatnie wymienione nanowe, wykorzystujące algorytm SHA-1.