SHA-1-certificaten worden steeds onveiliger, dus bewegingen van CloudFlare en Facebook om SHA-1-ondersteuning te behouden, lijken misschien contra-intuïtief. Beide bedrijven stellen echter dat de beveiligde toegang van miljoenen gebruikers op het spel staat.
EEN MINDER EN MINDER VEILIG ALGORITME
De Beveiligd hash-algoritme 1 (SHA-1) wordt sinds 1995 gebruikt voor het ondertekenen van certificaten en moet al lang geleden met pensioen gaan. Door SHA-1 te kraken, kunnen zwarte hoeden valse handtekeningen ondertekenen voor hun eigen certificaten, en HTTPS-verbindingen die deze frauduleuze certificaten gebruiken, zien er volkomen legitiem uit voor onoplettende bezoekers. Het is bekend dat SHA-1 al enige tijd kwetsbaar is voor compromissen door aanvallers met goede middelen (lees: door de staat gesponsorde), maar de rekenkracht die dit kost was voor de meeste aanvallers onbereikbaar - tot voor kort. EEN test in oktober 2015 gaf aan dat SHA-1 nu kan worden gekraakt voor ongeveer de prijs van een Porsche Panamera - ruim binnen het budget van veel criminele organisaties.
SHA-2 - DE LENTE VOORUIT
Opwaarderen naar SHA-2 certificaten en met pensioen gaan SHA-1 wordt sterk aangemoedigd door stoere industriëlen zoals Mozilla, Google en Microsoft. Geen enkele certificeringsinstantie die de beste praktijken in de sector volgt, zal na 1 december 31 SHA-2015-certificaten uitgeven en alle grote browsers zullen SHA-1-verbindingen vóór 1 januari 2017 weigeren (indien niet eerder).
Overstappen op SHA-2-certificaten zal op de langere termijn een sterker en veiliger internet opleveren, maar in een ecosysteem met meer dan drie miljard gebruikers zal SHA-1-pensionering ongetwijfeld hoofdpijn veroorzaken. Een aanzienlijk aantal gebruikers die oudere of legacy clientsoftware gebruiken (vooral gebruikers in ontwikkelingslanden) zullen voor een grimmige keuze komen te staan: HTTPS-verbindingen die SHA-1 gebruiken - of helemaal geen beveiliging.
SHA-1 - TERUGVALLEN
Dit is waarom Facebook en CloudFlare implementeren hun SHA-1 fallback-systemen, ontworpen om automatisch HTTPS-geactiveerde, SHA-1-ondertekende versies van hun sites te leveren aan bezoekers die zijn gedetecteerd met behulp van oudere technologie. Volgens de wiskunde van CloudFlare beveiligt SHA-2 verbindingen met 98.31 procent van de browsers in de wereld - maar de resterende 1.69% vertegenwoordigt nog steeds ongeveer 37 miljoen mensen, geconcentreerd in armere en meer repressieve delen van de wereld, en toegang tot internet via minder geavanceerde technologie.
Het verklaarde doel van beide bedrijven is om de beste praktijken uit de branche te observeren zonder dat segment van het internet dat beperkt is tot SHA-1-verbindingen te verlaten. Daartoe heeft CloudFlare ook voorgesteld een geheel nieuwe validatiecategorie voor digitale certificaten te creëren door een SHA-1-specifieke Verouderde validatie (LV) categorie aan de bestaande canon van Domein, organisatie en uitgebreide validatie types.
SSL.com zal definitief houdt u op de hoogte van de voortgang van dit voorstel.
