Voor de koppensnellers: gebruikers van de Chromium webbrowser (waar Google Chrome en Opera van worden afgeleid) kunnen binnenkort problemen ondervinden met digitale (X.509) certificaten waarin SHA1 (SHA-1) als cryptografische hashmethode wordt gebruikt, indien zo'n certificaat langer geldig is dan 2015-12-31. Het plan van de Chromium ontwikkelaars is als volgt (uitgaande van het gebruik van SHA1):
Bron: https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/2-R4XziFc7A/NDI8cOwMGRQJ

Consequenties hiervan:

Het is mij niet bekend wanneer gebruikers dit gaan zien, maar als je binnenkort een certificaat moet kopen, let erop dat je geen SHA1 meer wordt aangesmeerd! En zorg dat je, als je een RSA sleutelpaar genereert (dat is voordat je het certificaat aanvraagt), dat de lengte van de sleutels 2048 bits of meer is.

Hoe je met OpenSSL sleutelparen en certificaten kunt maken lees je o.a. hier: https://wiki.mozilla.org/SecurityEngineering/x509Certs. Veel info (wel even klikken) over sleutellengtes, hashes e.d. vind je hier: http://www.keylength.com/.


Nieuws en SHA1 feiten in chonologische volgorde (laatste bovenaan):

2014-09-02 De bewoordingen van Ryan Sleevi van Google zijn nu iets voorzichtiger (zie https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/2-R4XziFc7A/C0TpsP3GhKUJ). Zie ook: http://www.zdnet.com/google-accelerates-end-of-sha-1-support-certificate-authorities-nervous-7000033159/.

2014-08-25 Het CA/Browser Forum heeft "Code Signing Baseline Requirements Public Comment Draft" gepubliceerd (voor "gewone" code-signing certs, zie 2014-03-27 hieronder voor EV code-signing certs). Zie https://cabforum.org/2014/08/25/cabrowser-forum-releases-code-signing-baseline-requirements-public-comment-draft/. Daarin staan o.a. aan certificaten te stellen eisen (ook aan root- en intermediate certificaten), waaronder toegestane cryptografische hashes, sleutellengtes en levensduur (handig als je een private CA bouwt en/of Android APK's ontwikkelt). SHA1 (SHA-1) komt niet meer voor in dit document, wel diverse SHA-2 varianten.

2014-08-20 De bovenaan deze bijdrage beschreven Chromium aankondiging in de genoemde maillijst.

2014-08-19 Mail van Dr. Phillip Hallam-Baker (zie https://en.wikipedia.org/wiki/Phillip_Hallam-Baker) aan de Cryptography maillijst in antwoord op "SHA1 broken?" voor wat betreft certificaten. Zie http://www.metzdowd.com/pipermail/cryptography/2014-August/022510.html. In het kort: nee, waarschijnlijk voorlopig niet (een doorbraak op het gebied van collision attacks is denkbaar, maar daarmee kun je geen delen van een bestaand certificaat wijzigen zonder de op SHA1 gebaseerde digitale handtekening aan te moeten passen).

2014-08-06 Voorloper van bovengenoemde Chromium aankondiging als "issue": https://code.google.com/p/chromium/issues/detail?id=401365.

2014-08-06 CA/Browser Forum: EV SSL Certificate Guidelines v1.5.0, zie onder https://cabforum.org/documents/#Extended-Validation-Guidelines. Geen informatie over hash methodes.

2014-08-04 CA/Browser Forum: Baseline Requirements for Publicly-Trusted Certificates (non-EV) v.1.1.9, zie onder https://cabforum.org/documents/#Baseline-Requirements. Nb. dit is de laatste standaard voor "gewone" certificaten, en hierin staat: "SHA-1 MAY be used with RSA keys until SHA-256 is supported widely by browsers used by a substantial portion of relying-parties worldwide". Geen harde deadline dus.

2014-03-27 CA/Browser Forum: EV Code Signing requirements V1.2, zie onder https://cabforum.org/documents/#EV-Code-Signing. Geen informatie over hash methodes.

2013-11-12 Microsoft zegt na 2016-12-31 geen SHA1 meer te zullen ondersteunen: http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx. Nb. Chromium zet een veel steviger stap door binnenkort al gebruikers met mogelijke waarschuwingen te confronteren (en Microsoft kennende wordt "hun" deadline nog wel een paar keer uitgesteld).

2012-10-05 Bruce Schneier vraagt zich af wanneer collisions in SHA1 zullen worden aangetoond: https://www.schneier.com/blog/archives/2012/10/when_will_we_se.html

2011-01-01 In tabel 9 van http://csrc.nist.gov/publications/nistpubs/800-131A/sp800-131A.pdf stelt het Amerikaanse National Institute for Science and Technology dat SHA1 niet meer gebruikt zou moeten worden na 2013-12-31.

Nb. voor root certificaten is de gebruikte hashmethode minder van belang. Het gaat daarbij immers om een self-signed certificate. Het is dus niet zo erg als er in het besturingssysteem of webbrowser een root certificaat voorkomt met een MD5 hash. Wat wel erg is zijn certificaten (ook root) met RSA public keys met een lengte van 1024 of minder bits, en helaas komen die nog voor.

Heel kort, een certificaat is een lijstje met gegevens, waaronder een public key en een daaraan gekoppelde naam (bijv. domainname zoals host.example.com) met een digitale handtekening. Die digitale handtekening maakt gebruik van een cryptografische hash zoals SHA1.
Als je via https verbinding maakt met een server identificeert die server zich door het certificaat naar jouw webbrowser te sturen (daar is niks geheims aan, net als jouw naam als je ergens inlogt). De server authenticeert zich door te bewijzen dat hij over de, bij de public key horende, private key beschikt, vergelijkbaar met jouw wachtwoord (echter in dit geval, middels een cryptografische truc, zonder dat de private key die server verlaat).

Ten slotte: voor zover ik kon vinden was het SHA1 nieuws van Chromium nog niet op security.nl gepubliceerd. Overigens is dat geen verwijt, integendeel; respect voor en dank aan de redactie die de hele zomer, 7 dagen per week, ons van nieuws is blijven voorzien!

Aanvulling 00:23: helemaal bovenaan ook Opera genoemd
Aanvulling 00:51: verwijzingen naar post van Ryan Sleevi (van 6 uur geleden) en ZDNet artikel toegevoegd
Aanvulling 09:51: regel "Consequenties hiervan:" tussengevoegd en enkele typos gefixed