Browsere pålægger overgang til SHA-2

14 January 2016

Google Chrome har meddelt, at de vil stoppe med at understøtte hashalgoritmen SHA-1. SHA-2 er en opfølgning til SHA-1 og indstillet til at blive den nye standard, da SHA-1-certifikater ikke længere anses for at være sikre. Google, Microsoft og Mozilla vil blokere SHA-1 fra januar 2017 senest, selvom de overvejer at flytte denne dato til juli 2016 på grund af de stigende sikkerhedsrisici.

De forskellige varianter af SHA er, ligesom den tidligere MD5, hashkoder til beregning af en sammenfatning af et certifikat. Dette signeres derefter digitalt af en CA. En besøgende kan bruge dette til at kontrollere certifikatets ægthed.

Browsere advarer mod SHA-1

Fra begyndelsen af ​​2016 vil de fleste browsere vise en advarsel, hvis en bruger forsøger at besøge et website med et SHA-1-certifikat. Browsere accepterer SHA-1 til rodcertifikater, da disse indgår i browseres pålidelige lister. Rodcertifikater udstedes af certifikatmyndigheder som Comodo og Symantec. Dette er stadig sikkert, da SHA-1-signaturer til rodcertifikater anvendes til kontrol af deres identitet, ikke til kontrol af certifikater til websites.

Chrome SHA-1 melding

Misbrug af SHA-1 er relativt billigt

Farerne ved SHA-1-certifikater har været kendt i et stykke tid nu. Browserne søgte meget hurtigt efter en løsning på problemet, da forskellige undersøgelser afslørede, at det er relativt billigt for cyberkriminelle at angribe forbindelser, der er beskyttet med SHA-1. En svag hashfunktion gør det muligt at lave to certifikater med samme hash, hvilket gør det muligt at forfalske certifikater. Dette gør det muligt for selskaber med den rette kapacitet at efterligne almindeligt anvendte websites og opfange trafik til websitet.

SHA-2 understøttes ikke af ældre browsere

Fra 1. januar 2016 kan der ikke længere udstedes SHA-1-certifikater. En ulempe ved dette er, at ikke alle har et system, der understøtter SHA-2-certifikater. Windows XP SP2, Android 2.2 og ældre systemer understøtter ikke SHA-2, selvom disse systemer stadig er almindeligt anvendte i store dele af verden. Det betyder, at omkring 37 millioner mennesker over hele verden, men hovedsageligt koncentreret i udviklingslandene, vil opleve problemer med deres certifikater.

Klar til fremtiden

Forskere forventer, at opfølgningen SHA-2 og den endnu nyere hashalgoritme SHA-3 vil tjene os i mange år fremover. Disse systemer indeholder fundamentale ændringer og tilbyder mere end nok modstand til de nuværende former for angreb. I takt med at vores computeres beregningsmæssige kapacitet stiger, vil nyere SHA-hashalgoritmer fortsat udvikles for at sikre datatrafiksikkerheden.

Hvordan kan jeg vide, om et website bruger et SHA-1-certifikat?

Det er på nuværende tidspunkt endnu ikke muligt på nem vis at kunne se, om et sikkert website er beskyttet med et SHA-1- eller et SHA-2-certifikat. Chancerne er, at websites allerede har et SHA-2 certifikat, men det anbefales at kontrollere dette for at undgå at få adgang til et usikkert website og modtage irriterende advarsler. Gå til SSLCheck for at se, hvilken hashalgoritme et bestemt certifikat bruger.

Alle nye certifikater udstedes som regel som SHA-2, mens eksisterende SHA-1-certifikater kan genudstedes gratis som SHA-2-certifikater.

point up