Небезопасное соединение вконтакте. Отказ Google от использования метода шифрования SHA-1.

Несколько дней назад заметил очень не приятную вещь по поводу защищенного соединения социальной сети в контакте, а именно в адресной строке защищенное соединение https:// стало перечеркнуто и  подсвечивается красным цветом.
Браузер и его расширения сообщали мне о том что сайт в контакте использует по меньшей мере один сертификат подписанный устаревшим методом шифрования подписи SHA-1, что не безопасно (по мнению того же Google Chrome) и данные могут быть перехвачены.
Естественно каждому пользователю не очень-то и хочется чтобы его личная информация попала к третьим лицам, именно поэтому (в целях сохранения конфиденциальности информации) я занялся разгадкой данной задачи.
службу поддержки вк и задал вопрос в сервисе вопросов и ответов Большой Вопрос.

Команда поддержки в контакте, как всегда с любовью, начала гнать пургу по поводу расширений браузера, часового пояса и прочей ереси, объясняя мне пути (где посмотреть) как блондинке...

В принципе вот переписка с Агентом поддержки вк #370:

---

- Егор Андреев
У меня в браузере Google Chrome перечеркнуто защищенное соединение (https://), пишет что по меньшей мере один из сертификатов шифрует соединение в устаревшем методе шифрования SHA-1 и данные могут быть перехвачены. Как решить проблему?



- Агент поддержки #370
Приветствую, Егор.

Только в одном браузере у Вас так?
Проверьте, пожалуйста, время, дата и часовой пояс на компьютере правильно указаны?
С любовью,

Команда поддержки ВКонтакте


- Егор Андреев
Только в Google Chrome. В остальных браузерах порядок. Время, дата и часовой пояс верны.


- Агент поддержки #370
Какие расширения есть у Вас в браузере? Можно посмотреть в его меню (кнопка справа вверху с тремя полосками, справа от звездочки) — Дополнительные инструменты — Расширения


-Егор Андреев
Из включеных AdBlock Pro и Яндекс поиск, из выключенных Avast Online Security, Google документы офлайн и WOT: Web of Trust, Website reputation ratings

---

Мне кажется диалог с саппортом в контакте может продолжаться бесконечно и я пошел на БВ посмотреть есть ли ответ на мой вопрос по поводу шифрования вк SHA-1.
И действительно, ответ на мой Вопрос был полным и понятным.

Оказалось что в Google Chrome 39 все сайты с SSL сертификатами подписанными с шифрованием SHA-1 и с истекающим сроком действия 1 января 2017 года или позже будут отмечены в браузере желтым треугольником (доверенные, но с незначительными ошибками), а уже в Google Chrome 41 все веб сайты у которых срок действия сертификатов SHA-1 заканчивается 1 января 2017 года и позже будут отмечены красным крестиком на иконке замочка адресной строки и перечеркнутым красным https://, что говорит о небезопасности данного ресурса (опять же по мнению Google).

Таким образом Google отказывается от алгоритма хэширования SHA-1, разработанного еще в 1995 году, что сеет панику среди разработчиков сайтов с защищенным соединением, а для социальных сетей переход с SHA-1 на SHA-256 повлечет потерю части посетителей использующих старые браузеры (не поддерживающие SHA-256)...

В общем Google опять колдует и ведет игру в одни ворота.
Это замечено уже давно и вот только замеченные мной примеры:
-Запрет установки многих расширений для браузера;
-Отказ от технологии Unity (Unity Web Player);
-Отказ от метода шифрования подписи SHA-1...

То ли еще будет...

Но саму ситуацию с социальной сетью в контакте я исправил следующим образом:
1.Завершил все сеансы кроме текущего в настройках (описано тут);
2.Вышел из аккаунта в контакте (ссылка "Выход" справа вверху страницы);
3.Удалил в строке браузера https:// (защищенное соединение);
4.Авторизовался в контакте без шифрования по протоколу http:///
Вуаля! (смотрите скриншот справа)



Полезная статья? Поделись и получишь +500 к карме)))

Дата последнего изменения:

Тэги: #безопасность, #репост