Veiligheid op het internet bestaat uit meer dan het welbekende slotje in de adresbalk: de processen op de achtergrond zijn wat uw SSL certificaat juist zo veilig maken. In de afgelopen jaren is langzaam maar zeker bekend geworden dat het meestgebruikte beveiligingsalgoritme niet meer aan de eisen voldoet.

sha

SHA1 is een cryptografisch algoritme dat gebruikt wordt om gegevens te versleutelen. Dit doet het algoritme door aan de hand van een gegeven stuk data een unieke hashwaarde te genereren van, in het geval van SHA1, 160 bits. Sinds de publicatie door de NSA in 1995 is SHA1 uitgegroeid tot één van de voornaamste versleuteltechnieken op het internet en de voornaamste versleuteling voor SSL certificaten. In 2005 ontdekten onderzoekers echter dat de ‘onbreekbare’ SHA1 hash niet zo veilig was als altijd gedacht; met name dankzij de sterk verbeterende rekenkracht van computers werd de kans dat een SHA1 hash gekraakt werd steeds reëler. Het werd mogelijk voor hackers om de key van een SSL certificaat na te maken en zo een nep-certificaat uit te laten geven.

Omdat SHA1 geen garantie tot veiligheid meer kon bieden, werd door onder andere Certificate Authorities en browsers besloten om gefaseerd afscheid te nemen van SHA1 en over te stappen op het grote broertje van SHA1: SHA2. SHA2 is gebaseerd op een nieuw algoritme dat minimaal een 224-bit hashwaarde oplevert, tegenover de 160-bit hashwaarde van SHA1. Simpel gezegd: SHA2 is veiliger dan SHA1. Deze sterk verbeterde encryptie betekent onder meer dat een beveiliging met SHA2 ook veel minder kans heeft om twee exact dezelfde hashwaarden te creëren waardoor uw keys dus veilig blijven.

Chrome en Firefox zijn eerder dit jaar al begonnen met het aanmerken van SSL certificaten die beveiligd zijn met het SHA1 algoritme als onveilig. Het welbekende groene slotje of balkje bij de adresbalk kreeg een geel driehoekje om aan te geven dat de website beveiligd werd met een verouderde beveiligingsmethode, en in Chrome werden certificaten die nog geldig zijn tot na 1 januari 2017 gemarkeerd met een rood kruis door het slotje en een rode streep door de https in de adresbalk.

Grote bedrijven als Microsoft, Google en Mozilla hebben al eerder aangekondigd hun support voor SHA1 uit te gaan faseren en in elk geval vanaf 1 januari 2017 SSL certificaten die beveiligd zijn met SHA1 überhaupt niet meer te accepteren.  In de SSL Survey van Netcraft bleek dat er in oktober 2015 nog bijna 1 miljoen SHA1 certificaten actief waren. Naar aanleiding van een publicatie op 8 oktober 2015 die bewees dat de veiligheid van SHA1 al veel sterker is afgenomen dan men voorspelde, heeft Google in elk geval aangegeven deze datum naar voren te willen schuiven naar 1 juli 2016.

Vanaf 1 januari 2016 mogen van het CA/B forum, de overkoepelende organisatie voor Certificate Authorities en Browsers, SHA1 certificaten überhaupt niet meer worden uitgegeven. Alle grote CA’s hebben hier gehoor aan gegeven en leveren geen SHA1 certificaten meer uit. SHA1 certificaten die na die datum nog wel geldig zijn, kunnen niet worden verlengd.

Networking4all geeft al sinds begin 2015 geen SHA1-certificaten meer uit. Ook hebben wij contact gezocht met onze klanten die een SHA1-certificaat geïnstalleerd hadden en bieden wij een overstapservice aan van SHA1 naar SHA2. Mocht u nog gebruik maken van een SHA1-certificaat, maak dan nu gebruik van onze overstapservice.

Categorie  Productnieuws SSL & Security |