2min

Microsoft heeft bekendgemaakt dat het niet wil wachten tot 1 januari 2017 met het uitfaseren en blokkeren van het SHA1 hashing-algoritme, in plaats daarvan wil het bedrijf al vanaf 1 juni 2016 een einde maken aan het oude algoritme. Reden voor het versnelt uitfaseren is het feit dat SHA1 steeds kwetsbaarder wordt voor aanvallen.

Google en Mozilla zijn ook voorstander van het zo snel mogelijk uitfaseren en blokkeren van SHA1 nu het steeds makkelijker en goedkoper wordt om dit algoritme te kraken. De bedrijven willen ingrijpen voordat het straks voor kwaadwillende echt heel makkelijk wordt om hier misbruik van te maken.

Google staakt de ondersteuning voor SHA1 op 1 januari terwijl Microsoft nu mikt op 1 juni 2016. De veiligheid van het algoritme kan simpelweg niet meer worden gegarandeerd en door effectief gebruik te maken van nieuwe videokaarten kan het algoritme sneller dan ooit gekraakt worden. SHA2 is een prima vervanger en lang niet zo eenvoudig te kraken. Voor certificaat autoriteiten is het schrappen van SHA1 dan ook geen probleem aangezien er al een prima alternatief beschikbaar is.

In 2005 werd er al kritiek geuit op het SHA1-algoritme en hadden sommige experts al hun bedenkingen bij de veiligheid ervan. Op dat moment was het financieel nog niet interessant om het algoritme te kraken, inmiddels is het kostenplaatje een heel stuk lager. Het is nu mogelijk om via collision een nepcertificaat te ondertekenen met dezelfde hashwaardes als een legitiem certificaat, daarmee kan flink schade worden aangericht. Door SHA1 helemaal uit te schakelen en te blokkeren kan dit voorkomen worden.

Vanaf 1 januari worden er in elk geval geen SHA1-certificaten meer uitgegeven door de certificaat autoriteiten, dat is een eerste goede stap. De volgende stap is het blokkeren van het algoritme, dat gaat Microsoft nu dus vanaf juni doen. Mocht je je website beveiligd hebben met een SHA1-certificaat dan is het wijs om deze te gaan bijwerken naar een SHA2-certificaat.