Independent. Dynamic. Involved.
nlen

Certificaatgebruik: Tja, wij gebruiken nog SHA-1

Door Frank Peeters:

“Veranderingen certificaatgebruik in 2016”.

Vrijwel alle organisaties maken gebruik van versleutelde communicatie op basis van digitale certificaten. Het overgrote deel van deze certificaten zal getekend zijn met het inmiddels verouderde SHA-1 algoritme. Dit kan nadelige gevolgen hebben voor de continuïteit doordat websites niet meer bereikbaar zijn.

Het National Institute of Standards and Technology (NIST) heeft in 2013 al het advies uitgebracht om voor de uitgifte van digitale certificaten over te stappen op het SHA-2 algoritme, nadat in 2012 werd aangetoond dat SHA-1 relatief simpel te breken is.

Waarom SHA-1 certificaten aanpassen?

Naast de mindere kwaliteit van de beveiliging zoals NIST beschrijft gaan applicaties, zoals browsers, foutmeldingen bij SHA-1 certificaten geven of zelfs de toegang blokkeren. De termijn en het type waarschuwing verschilt per merk/type browser. Op dit moment worden gebruikers al meer en meer geconfronteerd met meldingen of een rood kruisje in de URL door het woord https. Google Chrome waarschuwt al vanaf versie 39 (uit november 2014) bij SHA-1 certificaten die na 1 januari 2017 nog geldig zijn. Microsoft geeft wat meer ruimte, zij overwegen om vanaf juni 2016 haar browsers geen sites meer met zogenoemde SHA-1 certificaten te laten accepteren. Ook Mozilla FireFox zal in de zomer van 2016 de ondersteuning stopzetten.

Al met al zullen in de nabije toekomst verschillende websites foutmeldingen opleveren of geheel onbereikbaar worden, indien de gebruikte digitale certificaten voorzien zijn van de verouderde SHA-1 algoritme. Dit beïnvloedt de continuïteit van uw bedrijfsprocessen en middelen. Om verstoringen te voorkomen is het advies om de oudere gebruikte certificaten tijdig te vervangen.

En nu?

Dit betekent dat Certification Authorities (CAs) en websitebeheerders de digitale certificaten moeten voorzien van een ander algoritme dan SHA-1, zoals SHA-256, SHA-384 of SHA-512. Dit zal impact hebben op uw bestaande Public Key Infrastructuur en uitgegeven certificaten. Een inventarisatie hiervan is de noodzakelijke eerste stap om uit te voeren, waarna een juiste oplossingsrichting gekozen kan worden. Te meer daar dit niet de laatste wijziging is op het gebied van certificaten.

Samenvattend.

Door de jarenlange ervaring van Traxion met Public Key Infrastructuur en gebruik van digitale certificaten, kunnen wij u helpen met advisering, aanpassing en/of vernieuwing van uw interne Public Key Infrastructuur. Doordat de fabrikanten van browsers in 2016 de ondersteuning gaan stopzetten is het tijdig vervangen de SHA-1 certificaten een noodzakelijk actie.

Meer informatie.

Voor meer informatie of een PKI Health Check kunt u met ons contact opnemen op sales@traxion.com