Overgang van SHA-1 naar SHA-2

12 september 2014

Voor SSL certificaten en digitale handtekeningen werd tot voor kort meestal het hashing algoritme SHA-1 gebruikt. Omdat hierin zwakheden zijn ontdekt is diens opvolger SHA-2 de nieuwe standaard. De internetbrowsers en certificaat-uitgevers zijn nu bezig met de uitfasering van SHA-1. Het gevolg is dat SHA-1 certificaten die in 2016 of daarna nog geldig zijn, binnenkort problemen gaan geven. In dit artikel meer informatie over wat dit voor u betekent, en op welke termijn.


Uitgevers van certificaten genereren SSL certificaten en ondertekenen deze digitaal. Voor deze ondertekening zijn verschillende algoritmes beschikbaar, waaronder het SHA-1 en SHA-2 algoritme. Er zijn zwakheden in SHA-1 ontdekt waardoor het National Institute of Standards and Technology (NIST) adviseert om voor de uitgifte van digitale certificaten over te stappen op SHA-2. De opvolger SHA-2 bevat niet de zwakheden die SHA-1 wel bevat en is hierdoor veiliger.

De internetbrowsers

De browsers zullen op korte termijn foutmeldingen gaan geven bij SHA-1 certificaten, waarbij de termijn en het type waarschuwing verschilt per browser. De nu bekende data zijn als volgt:

  • Microsoft stopt in Internet Explorer per 2016 met het ondersteunen van SHA-1 code signing certificaten, en per 2017 met de ondersteuning van SHA-1 SSL certificaten. In juli 2015 worden deze data mogelijk herzien.
  • Google gaat in Chrome versie 39 (gepland rond eind september) waarschuwingen geven bij SHA-1 certificaten die na 1 januari 2017 nog geldig zijn. Per versie worden de waarschuwingen ernstiger, en schuift de datum op (Chrome 41 waarschuwt bij SHA-1 certificaten die na 1 januari 2016 nog geldig zijn).
  • Ook Mozilla start in Firefox de aankomende maanden met het afwijzen van SHA-1 certificaten die verlopen na 2016.


De certificaat-uitgevers

Conform de planning van de browsers geven de CA's SHA-1 certificaten uit met een geldigheid tot uiterlijk eind 2016. Op dit moment bieden ze de keuze tussen SHA-1 en SHA-2, maar is de standaardoptie veelal SHA-2.

Bestellen

  • Alle nieuwe certificaten worden standaard als SHA-2 geleverd. U kunt nog wel kiezen voor SHA-1, maar met een beperkte looptijd. Als u een certificaat aanvraagt dat na 31/12/2016 nog geldig is, krijgt u altijd een SHA-2 certificaat.
  • U kunt uw huidige SHA-1 certificaten gratis heruitgeven als SHA-2 certificaten.
  • Weet u niet welk algoritme een certificaat heeft? Gebruik dan de SSLCheck of ga naar de tab certificaten in uw account. Hier staat het algoritme in de kolom 'Hash'.


De meeste systemen ondersteunen inmiddels SHA-2, behalve bijvoorbeeld oudere Windows XP versies. Zorg er dus voor dat uw systemen klaar zijn voor de overgang naar SHA-2.


Meer informatie


Voor vragen kunt u altijd contact met ons opnemen, wij helpen u graag.

point up