Browsers forceren overstap naar SHA-2

14 januari 2016

Google Chrome heeft aangekondigd te stoppen met de ondersteuning van hashing algoritme SHA-­1. SHA-­2 is de opvolger van SHA­-1 en wordt nu de standaard, omdat SHA-­1 certificaten niet meer veilig worden bevonden. Google, Microsoft en Mozilla willen SHA­-1 uiterlijk vanaf januari 2017 gaan blokkeren maar overwegen dit te vervroegen naar juli 2016 vanwege steeds grotere veiligheidsrisico’s.

De verschillende SHA varianten zijn, net zoals het oudere MD5, hashcodes waarmee een samenvatting van het certificaat wordt berekend. Deze wordt door een CA digitaal ondertekend. Een bezoeker kan hiermee de echtheid van het certificaat controleren.

Browsers waarschuwen voor SHA-1

Chrome SHA-1 melding   Per begin 2016 verschijnt er in de meeste browsers een waarschuwing als een gebruiker naar een website gaat met een SHA­-1 certificaat. Voor root certificaten wordt SHA-­1 wel geaccepteerd door de browsers, omdat deze zijn opgenomen in de vertrouwde lijsten van de browsers. Root certificaten zijn de 'stam­certificaten' van Certificate Autorities zoals Comodo en Symantec. Dit is nog wel veilig, omdat SHA-­1 handtekeningen voor root certificaten worden gebruikt voor de verificatie van hun identiteit en niet voor verifiëren van de certificaten voor websites.

 

Relatief goedkoop om SHA-1 te misbruiken

De gevaren van SHA-­1 certificaten zijn al een tijdje bekend. Er is versneld gezocht naar een oplossing door de browsers, omdat uit verschillende onderzoeken bleek dat het relatief goedkoop is voor cybercriminelen om de met SHA-­1 beveiligde verbinding aan te vallen. Een zwakke hashfunctie maakt het mogelijk twee certificaten met dezelfde hash te maken, wat het mogelijk maakt certificaten te vervalsen. Zo kunnen partijen die hiervoor de capaciteit hebben zich voordoen als een veelgebruikte website en kunnen zij het verkeer afluisteren.

SHA-­2 niet ondersteund door oude browsers

Per 1 januari 2016 mogen er geen SHA­-1 certificaten meer worden uitgegeven. Een nadeel is dat niet iedereen beschikt over een systeem die SHA­-2 certificaten ondersteunt. Windows XP SP2, Android 2.2 en oudere systemen ondersteunen SHA­-2 niet. In een groot deel van de wereld worden deze nog wel gebruikt. Dit betekent dat wereldwijd ongeveer 37 miljoen mensen, voornamelijk in ontwikkelingslanden, hier problemen mee krijgen.

Klaar voor de toekomst

Met opvolgers SHA­-2 en het nieuwere hashing algoritme SHA-3 kunnen we nog jaren vooruit, verwachten onderzoekers. Deze bevatten fundamentele wijzigingen en bieden meer dan genoeg weerstand tegen de huidige aanvallen. De rekenkracht van computers neemt constant toe, dus er zullen steeds nieuwe SHA hashing algoritmes worden ontwikkeld om veiligheid te kunnen blijven waarborgen.

Hoe weet ik of een website over een SHA-­1 certificaat beschikt?

Aan een beveiligde website is momenteel nog niet direct te zien of deze beveiligd is met een SHA-­1 of een SHA­-2 certificaat. De kans is groot dat de website al over een SHA­-2 certificaat beschikt, maar het is verstandig dit na te gaan om een onveilige website en vervelende waarschuwingen te voorkomen. Ga naar de SSLCheck om te bekijken welk hashing algoritme een bepaald certificaat heeft.

­Alle nieuwe certificaten worden standaard als SHA-­2 geleverd, huidige SHA-­1 certificaten kunnen gratis worden heruitgegeven als SHA-­2 certificaten.

­

Onze websites

  • sslcertificaten.nl
  • digitalehandtekeningen.nl
  • vulnerabilityscans.nl

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.