http://blogs.technet.com/pascals/archive/2008/12/31/collisions-md5-et-vrais-faux-certificats.aspxHier après-midi, après le buzz habituel de ce genre de révélation, Alexander Sotitov et ses compères ont présenté, dans le cadre du 25th Chaos Communication Congress à Berlin, des résultats fort intéressants pour la sécurité sur Internet. Vous trouverezen-USCommunityServer 2.1 SP1 (Build: 61025.2)http://blogs.technet.com/pascals/archive/2008/12/31/collisions-md5-et-vrais-faux-certificats.aspx#3177434Wed, 07 Jan 2009 17:27:12 GMTd5e57398-b9ef-4490-9955-07cbb4e4a80d:3177434jyp<p>Et il ne faut-il pas non plus que les utilisateurs cessent aussi et d'abord d'utiliser MD5, au sens ou une signature MD5 soit consideree suspecte et non valide?</p> <p>Tant que les verificateurs de signature (browser, mailer, etc...) considerent une signature MD5 comme valide, le signataire n'a pas d'incentive.</p> <p>Si les certificats MD5 sont suspects d'emblee, les CA, ou tous signataires, devront bien suivre...</p> <p>JYP</p>