¿Cómo comprueba https las huellas dactilares md5, sha-1 y sha-2?

-2

Cuando un sitio https muestra múltiples huellas dactilares, es decir: md5 y sha1, o sha256 y sha1, ¿cómo verifica el navegador? ¿Es solo el "más fuerte" o lo que sea conveniente?

Esta pregunta surgió porque en algún lugar se dijo que un sitio usaba protección débil debido a sha1. Pero ese sitio también mostró una huella dactilar sha256.

¿Es posible que debido a que también tiene sha1 eso cuenta como el eslabón más débil para la falsificación, el hombre en el medio, etc.? (o en otros casos, md5 como enlace más débil).

    
pregunta user59782 29.10.2014 - 14:04
fuente

1 respuesta

1

El navegador comprueba ambas huellas dactilares. La idea subyacente es que si es posible crear un certificado falso con el mismo hash MD5 o SHA-1 , existe una probabilidad mucho menor (casi cero) de que el mismo hash del certificado también coincida. Esto podría llamarse: Dual Hash Fingerprinting. Tanto MD5 como SHA-1 se consideran vulnerables en teoría ( MD5 también en la práctica). Esta es una razón para moverse a SHA-1/SHA-256 . Incluso si una colisión es posible para SHA-1 , es casi imposible obtener la misma colisión para SHA-256 .

Una nota aquí es que las huellas dactilares más largas se pueden truncar y SHA-256 tiene una huella dactilar más larga que SHA-1 y lo mismo con SHA-1 y MD5 .

    
respondido por el go2 29.10.2014 - 14:26
fuente

Lea otras preguntas en las etiquetas