Browsers versnellen overstap naar SHA-2 voor SSL
Google heeft vorig jaar aangekondigd te stoppen met de ondersteuning van hashing algoritme SHA-1 voor SSL certificaten. SHA-2 is de opvolger van SHA-1 en wordt nu de standaard, omdat SHA-1 SSL certificaten niet meer veilig worden bevonden. Google, Microsoft en Mozilla wilden SHA-1 vanaf januari 2017 gaan blokkeren maar overwegen dit te vervroegen naar juli 2016 vanwege steeds grotere veiligheidsrisico’s.
Vanaf begin dit jaar verschijnt er in de meeste internetbrowsers zoals Chrome en Firefox een waarschuwing als een gebruiker naar een website gaat met een SHA-1 certificaat.
De verschillende SHA varianten zijn, net zoals het oudere MD5, hashcodes waarmee een samenvatting van het certificaat wordt berekend. Deze wordt door een CA digitaal ondertekend. Een bezoeker kan hiermee de echtheid van het certificaat controleren.
De gevaren van SHA-1 certificaten zijn al een tijd bekend. Er is nu versneld gezocht naar een oplossing door de browsers, omdat uit verschillende onderzoeken bleek dat het relatief goedkoop is voor cybercriminelen om de met SHA-1 beveiligde verbindingen aan te vallen. Een zwakke hashfunctie maakt het mogelijk twee certificaten met dezelfde hash te maken, wat het mogelijk maakt certificaten te vervalsen. Zo kunnen partijen die hiervoor de capaciteit hebben zich voordoen als een veelgebruikte website en kunnen zij het verkeer afluisteren.
Geen ondersteuning door oudere browsers
Per 1 januari 2016 mogen er geen SHA-1 certificaten meer worden uitgegeven. Een nadeel is dat niet iedereen beschikt over een systeem dat SHA-2 certificaten ondersteunt. Windows XP SP2, Android 2.2 en oudere systemen ondersteunen SHA-2 niet. In een groot deel van de wereld worden deze nog wel gebruikt. Dit betekent dat wereldwijd ongeveer 37 miljoen mensen, voornamelijk in ontwikkelingslanden, hier problemen mee kunnen krijgen.
SHA-2 en het nieuwere hashing algoritme SHA-3 kunnen nog jaren mee, verwachten onderzoekers. Deze bevatten fundamentele wijzigingen en bieden voldoende weerstand tegen de huidige aanvallen. De rekenkracht van computers neemt constant toe, er zullen dus steeds nieuwe SHA hashing algoritmes worden ontwikkeld om veiligheid te kunnen blijven waarborgen.
Hoe weet ik of een website over een SHA-1 certificaat beschikt?
Aan een beveiligde website is momenteel nog niet direct te zien of deze beveiligd is met een SHA-1 of een SHA-2 certificaat. De kans is groot dat de website al over een SHA-2 certificaat beschikt, maar het is verstandig dit na te gaan om een onveilige website en vervelende waarschuwingen te voorkomen. Ga naar de SSLCheck om te bekijken welk hashing algoritme een bepaald certificaat heeft.
Bron: SSLcertificaten.nl
Google heeft vorig jaar aangekondigd te stoppen met de ondersteuning van hashing algoritme SHA-1 voor SSL certificaten. SHA-2 is de opvolger van SHA-1 en wordt nu de standaard, omdat SHA-1 SSL certificaten niet meer veilig worden bevonden. Google, Microsoft en Mozilla wilden SHA-1 vanaf januari 2017 gaan blokkeren maar overwegen dit te vervroegen naar juli 2016 vanwege steeds grotere veiligheidsrisico’s.
Vanaf begin dit jaar verschijnt er in de meeste internetbrowsers zoals Chrome en Firefox een waarschuwing als een gebruiker naar een website gaat met een SHA-1 certificaat.
De verschillende SHA varianten zijn, net zoals het oudere MD5, hashcodes waarmee een samenvatting van het certificaat wordt berekend. Deze wordt door een CA digitaal ondertekend. Een bezoeker kan hiermee de echtheid van het certificaat controleren.
De gevaren van SHA-1 certificaten zijn al een tijd bekend. Er is nu versneld gezocht naar een oplossing door de browsers, omdat uit verschillende onderzoeken bleek dat het relatief goedkoop is voor cybercriminelen om de met SHA-1 beveiligde verbindingen aan te vallen. Een zwakke hashfunctie maakt het mogelijk twee certificaten met dezelfde hash te maken, wat het mogelijk maakt certificaten te vervalsen. Zo kunnen partijen die hiervoor de capaciteit hebben zich voordoen als een veelgebruikte website en kunnen zij het verkeer afluisteren.
Geen ondersteuning door oudere browsers
Per 1 januari 2016 mogen er geen SHA-1 certificaten meer worden uitgegeven. Een nadeel is dat niet iedereen beschikt over een systeem dat SHA-2 certificaten ondersteunt. Windows XP SP2, Android 2.2 en oudere systemen ondersteunen SHA-2 niet. In een groot deel van de wereld worden deze nog wel gebruikt. Dit betekent dat wereldwijd ongeveer 37 miljoen mensen, voornamelijk in ontwikkelingslanden, hier problemen mee kunnen krijgen.
SHA-2 en het nieuwere hashing algoritme SHA-3 kunnen nog jaren mee, verwachten onderzoekers. Deze bevatten fundamentele wijzigingen en bieden voldoende weerstand tegen de huidige aanvallen. De rekenkracht van computers neemt constant toe, er zullen dus steeds nieuwe SHA hashing algoritmes worden ontwikkeld om veiligheid te kunnen blijven waarborgen.
Hoe weet ik of een website over een SHA-1 certificaat beschikt?
Aan een beveiligde website is momenteel nog niet direct te zien of deze beveiligd is met een SHA-1 of een SHA-2 certificaat. De kans is groot dat de website al over een SHA-2 certificaat beschikt, maar het is verstandig dit na te gaan om een onveilige website en vervelende waarschuwingen te voorkomen. Ga naar de SSLCheck om te bekijken welk hashing algoritme een bepaald certificaat heeft.
Bron: SSLcertificaten.nl