Vanaf januari 2016 zal Microsoft geen certificaten meer ondersteunen die met het SHA-1-algoritme zijn ondertekend. SHA-1 is een hashingalgoritme dat in 1995 door de Amerikaanse inlichtingendienst NSA werd ontwikkeld en door het National Institute of Standards and Technology werd gepubliceerd.

Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet te manipuleren zou moeten zijn, worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen.

Beleid

Sinds 2005 zijn er echter collision-aanvallen bekend waar verschillende invoer dezelfde uitvoer geeft. Dat houdt volgens Microsoft in dat SHA-1 niet langer aan de veiligheidsstandaarden voordoet voor het genereren van een veilige hash. Dit kan weer leiden tot phishingaanvallen, het spoofen van content of het uitvoeren van man-in-the-middle-aanvallen. Daarom heeft de softwaregigant nu nieuw beleid aangekondigd.

Daarin staat dat SSL-certificaten en certificaten voor het signeren van code die het SHA-1-algoritme gebruiken vanaf januari 2016 niet meer worden herkend. Certificate Authorities, de partijen die certificaten uitgeven, krijgen dan ook het advies om op SHA-2 over te stappen. Daarnaast wordt gebruikers aangeraden om zo spoedig als mogelijk hun SHA-1-certificaten door SHA-2-certificaten te vervangen.