Vanaf volgend jaar gaat Google Chrome gebruikers waarschuwen als ze HTTPS-websites met zwakkere SSL-certificaten bezoeken. De waarschuwing geldt voor SSL-certificaten die een RSA-encryptiesleutel van minder dan 2048-bits gebruiken.

"Hoewel het ideaal zou zijn als dit geen problemen bij gebruikers veroorzaakt, laat onze data zien dat de handhaving van minimale sleutellengtes voor een klein percentage van de websites gevolgen zal hebben", zegt Ryan Sleevi van Google. Het zou om minder dan 0,1% van de onderzochte websites gaan.

Uitgevers

Het probleem ligt bij de Certificate Authorties, de uitgevers van SSL-certificaten, die zich niet aan de technische eisen van het CA/Browser Forum houden. Het Certification Authority Browser Forum (CA/Browser Forum) is een vrijwillig consortium van Certificate Authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties.

Vanaf 31 december van dit jaar is het de bedoeling dat SSL-certificaten met RSA-encryptiesleutels van minder dan 2048-bits worden uitgefaseerd. Om Certificate Authorities op deze datum te wijzen en ervoor te zorgen dat ze zich aan de vereisten houden, heeft Google de geplande wijzigingen nu aangekondigd.

Regels

Dat er nog altijd Certrificate Authorities zijn die zich niet aan regels houden wordt ook duidelijk uit onderzoek van internetbedrijf Netcraft. Het bedrijf analyseerde een groot aantal SSL-certificaten en keek of die aan een klein deel van de basisvereisten voldeden zoals opgesteld door het CA/Browser Forum.

Er werden meer dan 2500 certificaten aangetroffen die "non-compliant" waren. Het gaat dan om certificaten met een korte RSA-sleutel, een te lange geldigheidsduur, een SAN-extensie en een ontbrekende OCSP URL voor het intrekken van uitgegeven SSL-certificaten. Een klein aantal van deze certificaten wordt door Google gebruikt.