Browsers forceren overstap naar SHA-2 in juli 2016
Begin dit jaar heeft Google Chrome aangekondigd te stoppen met de ondersteuning van hashing algoritme SHA-1. SHA-2 is de opvolger van SHA-1 en wordt nu de standaard omdat SHA-1 certificaten niet meer veilig worden bevonden. Google, Microsoft en Mozilla willen SHA-1 uiterlijk vanaf januari 2017 gaan blokkeren, maar overwegen dit te vervroegen naar juli 2016 vanwege steeds grotere veiligheidsrisico’s.
De verschillende SHA-varianten zijn, net zoals het oudere MD5, hashcodes waarmee een samenvatting van het certificaat wordt berekend. Deze wordt door een CA digitaal ondertekend. Een bezoeker kan hiermee de echtheid van het certificaat controleren.
Browsers waarschuwen voor SHA-1
Per begin 2016 verschijnt er in de meeste browsers een waarschuwing als een gebruiker naar een website gaat met een SHA-1 certificaat. Voor root certificaten wordt SHA-1 wel geaccepteerd door de browsers omdat deze zijn opgenomen in de vertrouwde lijsten van de browsers. Root certificaten zijn de ‘stamcertificaten’ van Certificate Autorities, zoals Comodo en Symantec. Dit is nog wel veilig omdat SHA-1 handtekeningen voor root certificaten worden gebruikt voor de verificatie van hun identiteit en niet voor het verifiëren van de certificaten voor websites.
Relatief goedkoop om SHA-1 te misbruiken
De gevaren van SHA-1 certificaten zijn al een tijdje bekend. Er is versneld gezocht naar een oplossing door de browsers omdat uit verschillende onderzoeken bleek dat het relatief goedkoop is voor cybercriminelen om de met SHA-1 beveiligde verbinding aan te vallen. Een zwakke hashfunctie maakt het mogelijk twee certificaten met dezelfde hash te maken, wat het mogelijk maakt certificaten te vervalsen. Zo kunnen partijen die hiervoor de capaciteit hebben zich voordoen als een veelgebruikte website en kunnen zij het verkeer afluisteren.
SHA-2 niet ondersteund door oude browsers
Per 1 januari 2016 mogen er geen SHA-1 certificaten meer worden uitgegeven. Een nadeel is dat niet iedereen beschikt over een systeem dat SHA-2 certificaten ondersteunt. Windows XP SP2, Android 2.2 en oudere systemen ondersteunen SHA-2 niet. In een groot deel van de wereld worden deze nog wel gebruikt. Dit betekent dat wereldwijd ongeveer 37 miljoen mensen, voornamelijk in ontwikkelingslanden, hier problemen mee krijgen.
WebRTB is klaar voor de toekomst
Met opvolger SHA-2 en het nieuwere hashing algoritme SHA-3 kunnen we nog jaren vooruit verwachten onderzoekers. Deze bevatten fundamentele wijzigingen en bieden meer dan genoeg weerstand tegen de huidige aanvallen. De rekenkracht van computers neemt constant toe, dus er zullen steeds nieuwe SHA hashing algoritmes worden ontwikkeld om veiligheid te kunnen blijven waarborgen.
Hoe weet ik of mijn website over een SHA-1 certificaat beschikt?
Aan een beveiligde website is momenteel nog niet direct te zien of deze beveiligd is met een SHA-1 of een SHA-2 certificaat. De kans is groot dat de website al over een SHA-2 certificaat beschikt, maar het is verstandig dit na te gaan om een onveilige website en vervelende waarschuwingen te voorkomen. Alle nieuwe certificaten worden standaard als SHA-2 geleverd, huidige SHA-1 certificaten kunnen gratis bij onze leverancier worden heruitgegeven als SHA-2 certificaten.
Wij zullen de komende week alle certificaten controleren en waar nodig klanten op de hoogte brengen.
