Несмотря на вступление в силу 1 января 2016 года  требований (https://cabforum.org/baseline-requirements/) к удостоверяющим центрам, регламентирующим прекращение использование SHA-1 при формировании цифровых подписей для сертификатов TLS/SSL, Министерство обороны США продолжило (http://news.netcraft.com/archives/2016/01/08/us-military-sti...) формирование заверенных SHA-1 сертификатов, применяемых для организации защищённых соединений к сайтам в доменной зоне ".mil".

<center><a href="http://news.netcraft.com/wp-content/uploads/2016/01/necporta... src="https://www.opennet.ru/opennews/pics_base/0_1452585755.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

При должной рандомизации серийных номеров сертификатов, использование SHA-1 пока не представляет (https://blog.cloudflare.com/why-its-harder-to-forge-a-sha-1-.../) практически реализуемых угроз, проблемы пока носят теоретический характер. Тем не менее, браузеры уже начали процесс прекращения поддержки SHA-1 и помечают как незащищённые сайты, доступ к которым по HTTPS осуществляется с сертификатом, подписанным SHA-1 и выданным после 1 января 2016 года. Подобная пометка игнорируется сотрудниками при доступе к защищённым областям сайтов .mil, что усыпляет бдительность и вырабатывает привычку не обращать внимание на выдаваемые браузером предупреждения, что создаёт благодатную почву для проведения MITM-атак.

Применительно ко всей Сети, в обиходе находится около 650 тысяч  SSL-сертификатов, использующих SHA-1, но почти у всех из них время жизни истекает в 2016 году. Пока небезопасными помечаются только сайты с сертификатами, выписанным после 1 января 2016 года. В июле в Chrome и Firefox доверие будет прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты их создания.

URL: http://news.netcraft.com/archives/2016/01/08/us-military-sti...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43658