Uitgifte van verouderde sha-1-certificaten wordt niet verlengd

Symantec had een verzoek ingediend bij het CA/Browser Forum om de uitgifte van de verouderde sha-1-certificaten met een jaar te verlengen. Dat verzoek heeft het bedrijf inmiddels teruggetrokken, nadat verschillende cryptologen kritiek hadden geuit, sha-1 moet volgens hen juist zo snel mogelijk worden uitgefaseerd.

De sha-1-certificaten worden sinds 1995 uitgegeven, het hashing-algoritme was in dat jaar nog high-end maar inmiddels is het enorm achterhaald en is het zelfs binnen enkele maanden te kraken met minimale investeringen. Dit kan door geen gebruik te maken van CPU’s maar van GPU’s. Inmiddels zijn er dan ook al de nodige nieuwe beveiligingsalgoritmes die vele malen beter zijn, afscheid nemen van oude standaarden heeft altijd wat voeten in aarde maar lijkt nu toch te zijn gelukt.

Het Certification Authorriy Browser Forum waar alle certificaatautoriteiten en browserontwikkelaars lid van zijn heeft nu besloten dat sha-1 zijn beste tijd gehad heeft en wordt uitgefaseerd. De nieuwste en meest veilige standaard is TLS 1.3.

Symantec diende met steun van Microsoft en Trend Micro het verzoek in om de sha-1-certificaten nog met een jaar te verlengen omdat er zoveel gebruik van wordt gemaakt, expert en cryptologen zijn van mening dat dat argument onvoldoende is omdat het simpelweg niet veilig genoeg is. Na het uiten van de nodige kritieken heeft Symantec besloten het verzoek in te trekken.