>> Wat zijn de beveiligingsrisico's van SHA-1?
>> Wanneer zijn de browserwijzigingen in SHA-1-certificaten van kracht geworden?
>> Hoe gaat DigiCert om met de vereiste met betrekking tot SHA-2?
>> Wat moet ik doen als ik een probleem heb met mijn SHA-2-certificaat?
>> Gaan mijn gebruikers problemen ondervinden als ik mijn website beveilig met een SHA-2 SSL-certificaat?
Wat zijn de beveiligingsrisico's van SHA-1?
Geen enkel hashing-algoritme is volledig bestand tegen botsing. De botsingsweerstand van een hash-functie wordt bepaald door hoe moeilijk het is om een botsing te vinden. Een botsing vindt plaats wanneer een aanvaller twee identieke hashes kan vinden die met dezelfde hash-functie zijn gegenereerd. Nadat een aanvaller erin is geslaagd een botsing te vinden, kan deze een ongeautoriseerd certificaat aanmaken. Omdat webbrowsers het certificaat vertrouwen, kan het worden gebruikt om websites te vervalsen met het HTTPS-protocol.
Naarmate de technologie geavanceerder wordt, zal de botsingsweerstand van een hash-functie uiteindelijk te zwak worden en moet worden overgestapt op een sterkere hash-functie. In 2005 ontdekte een Chinees onderzoeksteam een zwakheid in de botsingsbestendigheid van SHA-1. Sindsdien zijn de aanvallen van de onderzoeks- en cryptologiegroepen steeds beter geworden en wordt voorspeld dat het binnen een paar jaar praktisch mogelijk is om voldoende rekenkracht bij elkaar te krijgen om een geslaagde botsingsaanval uit te voeren.
Wanneer zijn de browserwijzigingen in SHA-1-certificaten van kracht geworden?
Als onderdeel van hun planning voor de migratie naar SHA-2 kondigden Microsoft, Google en Mozilla aan dat ze het vertrouwen in SHA-1-certificaten zouden beëindigen.
Veranderingen met betrekking tot SHA-1 SSL-certificaten:
Microsoft, Google en Mozilla zijn in 2016 begonnen met het uitfaseren van SHA-1-certificaten. De tijdlijn daarvoor was als volgt:
- November 2014: in Chrome wordt een waarschuwing weergegeven voor SHA-1 SSL-certificaten die verlopen in 2017.
- December 2014: in Chrome wordt een waarschuwing weergegeven voor SHA-1 SSL-certificaten die verlopen na 1 juni 2016.
- Januari 2015: in Chrome wordt een waarschuwing weergegeven voor SHA-1 SSL-certificaten die verlopen in 2016.
- December 2015: in Firefox wordt de waarschuwing "niet-vertrouwde verbinding" weergegeven voor SHA-1 SSL-certificaten die zijn uitgegeven na 1 januari 2016.
- Januari 2016: in Chrome wordt een certificaatfout weergegeven voor SHA-1 SSL-certificaten die zijn uitgegeven na 1 januari 2016.
Certificaatcriteria: ondertekend met een SHA-1-handtekening, uitgegeven na 1 januari 2016 en terugleidend naar een openbare certificeringsinstantie. - 1 januari 2017: SHA-1 SSL-certificaten worden niet langer vertrouwd door Microsoft, Google en Mozilla.
Mozilla en Google zeggen dat deze datum kan worden verschoven naar 1 juli 2016, gezien de recente aanvallen op SHA-1.
Microsoft zegt dat deze datum kan worden verschoven naar juni 2016, gezien de recente aanvallen op SHA-1.
Hoe gaat DigiCert om met de vereiste met betrekking tot SHA-2?
DigiCert probeert zijn klanten altijd de allerbeste ervaring te bieden. Na de aankondiging van Microsoft heeft DigiCert geen SHA-1-certificaten meer uitgegeven met een verloopdatum na 2017 en is SHA-2 de standaard geworden voor alle uitgegeven certificaten. DigiCert raadt u ten zeerst aan om waar mogelijk de implementatie van SHA-2 te versnellen en u voor te bereiden op een complete migratie naar SHA-2 als u dat nog niet hebt gedaan.
Wat moet ik doen als ik een probleem heb met mijn SHA-2-certificaat?
Ga bij de producent van de browser of het besturingssysteem na of er updates zijn die ondersteuning toevoegen voor SHA-2.
Gaan mijn gebruikers problemen ondervinden als ik mijn website beveilig met een SHA-2 SSL-certificaat?
Alle moderne browsers ondersteunen SHA-2-certificaten. Gebruikers met oudere browsers zijn altijd kwetsbaarder voor beveiligingsrisico's en dat geldt ook voor de compatibiliteit met SHA-2. DigiCert adviseert beheerders om hun gebruikers met oudere en minder veilige systemen te updaten naar de nieuwste versie.