針對SSL認證加密技術被攻破的消息,英國網絡服務機構Netcraft又發現,互聯網上14%的使用MD5算法進行加密的SSL認證都存在安全漏洞,足以引起黑客的濃厚興趣。其實早在2004年就有了針對MD5的第一次破解,并成功使用同一個數字簽名制造了兩條不同的消息。2007年,破解技術更加高級,理論上已經能夠讓研究人員得到任何想要的兩條消息。
Netcraft經過調查后發現,目前有13.5萬個有效的第三方數字認證使用MD5算法,占互聯網上所有認證的大約14%,這其中有12.8萬個(95%)來自RapidSSL(Equifax),另外7000個來自Thawte和Verisign,不過Netcraft指出,后兩家公司的大多數數字認證使用的都是SHA-1算法,而這種加密技術現在看起來還是安全的。
Verisign宣稱已經停止為其RapidSSL認證使用MD5算法,并計劃到本月底的時候在所有認證產品中放棄MD5,預計其他認證機構也會如 此。由于SHA-1算法非常成熟,且已經被大多數SSL認證簽名所采用,所以過渡轉移會非常簡單順利,針對MD5的攻擊自然也就沒有目標 了。
