Chrome считает HTTPS-сертификат Яндекс.Денег ненадежным, «Яндекс» предлагает воспользоваться другим браузером
Еще в сентябре 2014-го Google начал борьбу с HTTPS-сертификатами, в которых для подписи использовалась хэш-функция SHA-1, как с недостаточно надежными. HTTPS-оединения с использованием таких сертификатов, при соблюдении ряда условий по сроку их годности, помечаются браузером Chrome как ненадежные (желтый треугольник с восклицательным знаком или красный крест).
Google использует довольно запутанную схему, из-за которой чем дальше в будущем дата истечения сертификата с SHA-1, тем хуже он оценивается. Так, Яндекс.Деньги и PayPal до сих пор используют сертификаты, подписанные с применением SHA-1. Однако соединение с PayPal считается браузером безопасным (сертификат истекает в апреле 2015), а вот соединение с Яндекс.Деньгами показывается, как имеющее проблемы с безопасность (сертификат истекает в декабре 2016-го).
Читатель Roem.ru обратил внимание технической поддержки Яндекс.Денег на проблему в январе этого года (тикет #2015013133001822), однако, получил совет не использовать Google Chrome и сменить браузер.
Особенно странно совет сменить браузер смотрится на фоне заявления "Яндекса" в корпоративном блоге на "Хабре":
SHA-1 уже сегодня официально считается небезопасным и постепенно выводится из употребления. Так Яндекс.Браузер и другие браузеры семейства Chromium в ближайшие месяцы начнут помечать сертификаты, которые подписаны с использованием SHA-1 и срок действия которых истекает после 1 января 2016 года, как небезопасные.
Можно по разному оценивать подход Google, но, учитывая долю Chrome на российском рынке, может быть стоило таки перевыпустить сертификат, чтобы у пользователей не возникало сомнений в безопасности соединения?
2 комментария | Комментировать
Источник: Roem.ru
Похожие новости
- Безопасная сборка Docker-образов в CI: пошаговая инструкция
- Доказательный маркетинг©: научный подход, который работает
- Слил $800 на CEX, поднял $2000 на DEX — реальный опыт копитрейдинга в Solana
- Digital-издательство «Русконтент» запустило образовательный проект «Все профессии нужны, все профессии важны»
- Видеть инфраструктуру как хакер. От графа моделирования угроз к алгоритмам, которые находят маршруты атак на нем
- Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 7. «Батрацкий стартап»
- Информационная безопасность для цифровых кочевников
- Редакция Spark.ru: Как DIY-инструменты и краудсорсинг заменяют профессиональных продюсеров?
- Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP
- Философия защиты персональных данных: долгая дорога к безопасности