14% certyfikatów SSL może być podatnych na fałszerstwo

Firma Netcraft przedstawiła kolejne dane dotyczące krytycznej luki w certyfikatach SSL odkrytej w zeszłym tygodniu. Chociaż Microsoft poinformował że nie został jeszcze opublikowany Exploit wykorzystujący odkrytą lukę, to według analityków Netcraft nawet 14% wszystkich certyfikatów może być podatna na sfałszowanie.

O problemach związanych z certyfikatami wykorzystującymi algorytm MD5 pisaliśmy w zeszłym tygodniu. Naukowcy zaprezentowali wtedy sposób, w jaki za pomocą 200 konsol Sony Playstation 3 można stworzyć fałszywy certyfikat SSL. Taki certyfikat miał być uznawany za autentyczny przez wszystkie główne przeglądarki internetowe.

Według ekspertów z Netcraft, na chwilę obecną w Internecie istnieje ponad 135 tysięcy certyfikatów wykorzystujących algorytm MD5. Stanowi to około 14% wszystkich certyfikatów wykorzystywanych w sieci. Eksperci z firmy Netcraft zalecają, aby firmy wykorzystujące w swoich certyfikatach algorytmy MD5 zrezygnowały z nich na rzecz np. znacznie bardziej bezpiecznego SHA-1.

Verisign, który jest właścicielem firmy RapidSSL, zadeklarował, że do końca stycznia wszystkie certyfikaty przez niego oferowane nie będą już korzystać z algorytmów MD5.