Internet laat miljoenen per 1-1-2016 'https-loos' achter

Dat is voornamelijk een kwestie van brute rekenkracht en een beetje slimmigheid. Een paar jaar geleden was de prognose dat de eerste hack van zogeheten SSL-certificaat ergens in 2018 te verwachten is, maar de ontwikkelingen gaan sneller dan gedacht en inmiddels ligt de houdbaarheidshorizon van de thans geldende, en achteraf met een 1 getooide encryptiestandaard SHA1 op 2016. Voor certificaat-autoriteiten reden te besluiten om vanaf 1 januari volgend jaar geen SHA1-certificaten meer uit te geven. In het kielzog van die wending kunnen belangrijke websites ook niet meer achterblijven en zullen banken, webmail-diensten en socialmedia-sites naar verwachting en masse hun bestaande SHA1-certificaten vervangen door SHA2. In feite gebruikt al een kwart van de https-sites SHA2.

Windows XP

Ze kunnen dat makkelijk doen, vinden de certificaat-autoriteiten, want de opvolger SHA2 is al sinds 2001 beschikbaar (sinds augustus is er zelfs ook SHA3). En vrijwel alle gangbare browsers kunnen er ook mee uit de voeten, dat wil zeggen de recentere versies van deze browsers. Maar in minder welvarende gemeenschappen zal daar toch anders tegenaan worden gekeken. Daar is het gebruik van oudere hardware met dito besturingssysteem en browsers eerder regel dan uitzondering. Het gevolg is dat miljoenen gebruikers de keuze hebben tussen een voor hen vaak moeilijk te bekostigen upgrade of verstoken blijven van toegang tot juist die sites die het beveiligen waard zijn.

Waar de legacy-grens precies zal liggen is moeilijk in kaart te brengen, ZDnet haalt in een artikel over de kwestie SSL-deskundige Ivan Ristic aan. Die noemt in ieder geval Windows XP SP2 en Android 22 als besturingssysteme die nog niet met SHA2 uit de voeten kunnen. Hoe de vlag er voor Apple-gebruikers voor staat wordt niet vermeld, maar dat zal in de zich ontwikkelende economiën wellicht ook niet zo'n nijpende vraag zijn.