Google Chrome stopt met SHA-1

Om te beginnen zullen HTTPS-sites die dit hashalgoritme gebruiken, vanaf november in Chrome 39 niet langer als volledig betrouwbaar worden aangeduid in de gebruikersinterface.
SHA, het Secure Hash Algortihm is ontwikkeld door de Amerikaanse NSA en is in 1995 gepubliceerd door het NIST, het Amerikaanse National Institute of Standards and Technology. Het bestaat uit een verzameling cryptografische hashfuncties die de betrouwbaarheid van SSL-certificaten zou moeten waarborgen.

Redactie AG ConnectMeer van deze auteur

Google voert aan dat zogeheten collision-aanvallen steeds makkelijker en goedkoper uitgevoerd kunnen worden en SHA-1 niet meer adequaat is om hiertegen te beschermen. Bij collision-aanvallen kan een een vervalst SSL-certificaat worden geproduceerd dat de indruk wekt dat het afkomstig is van een Certificaat Autoriteit (CA). De SHA-1-hash is dan niet te onderscheiden van de hash van het officiele certificaat.

Al jaren bekend

Dat SHA-1 niet meer volstaat, is al jaren bekend. Opvolgers voor SHA-1 zijn al lange tijd voorhanden. NIST heeft twee jaar geleden al een keuze gemaakt voor SHA-3. NIST waarschuwde al in 2005 dat SHA-1 niet meer veilig genoeg was en adviseerde toen al dringend over te stappen op SHA-2.

Chrome 39 zal vanaf 26 september aanstaande duidelijk aangeven dat sites met certificaten die op of na 1 januari 2017 verlopen en die een SHA-1-signature hebben, nog ‘veilig zijn maar kleine fouten bevatten’. Dat wordt aangegeven met een slotje met een gele driehoek daar overheen.

Chrome 40 zal vanaf 7 november 2014 datzelfde aangeven voor certificaten die tussen 1 juni 2016 en december 2016 verlopen.

Chrome 41 geeft vanaf het eerste kwartaal 2015 expliciet aan dat deze certificaten onveilig zijn. Dat gebeurt in de vorm van een slotje met een rood kruis er doorheen en een rode streep door HTTPS.