Om internetgebruikers tegen valse SSL-certificaten te beschermen zal Google de komende maanden de ondersteuning van het SHA-1-hashingalgoritme langzaam afbouwen, waarbij HTTPS-sites die het algoritme gebruiken uiteindelijk als onveilig door de browser zullen worden weergegeven.
Het Secure Hash Algorithm (SHA) is een verzameling cryptografische hashfuncties ontworpen door de Amerikaanse National Security Agency (NSA) en gepubliceerd door het Amerikaanse National Institute of Standards and Technology (NIST). Volgens Google is het uitvoeren van collision-aanvallen tegen SHA-1 nu zo betaalbaar geworden dat dit niet meer te negeren valt. Bij een collision-aanval is het mogelijk om een vals SSL-certificaat te maken, waarbij de SHA-1-hash nog steeds overeenkomt met de hash van het legitieme certificaat dat door een Certificaat Autoriteit is uitgegeven.
Vanwege het risico liet het NIST al in 2010 weten dat SHA-1 moest worden uitgefaseerd. Om dit bereiken zullen websites die een SHA-1-gebaseerde handtekening gebruiken vanaf Chrome 39 (26 september 2014) anders in de adresbalk worden weergeven. Er verschijnt dan nog steeds een slotje, maar met een gele driehoek. Dit wil zeggen dat de website veilig is, maar met kleine fouten. Het gaat hierbij om SSL-certificaten die op of na 1 januari 2017 verlopen.
Met de lancering van Chrome 40 (7 november 2014) zullen websites die een certificaat gebruiken dat tussen 1 juni 2016 en 31 december 2016 verloopt en ook een SHA-1-handtekening gebruiken als veilig, maar met kleine fouten weergegeven. Websites met een certificaat dat op of na 1 januari 2017 verloopt zullen als een normale HTTP-pagina worden weergegeven. Vanaf Chrome 41 (eerste kwartaal 2015) zullen websites met certificaten die op of na 1 januari 2017 verlopen als onveilig worden weergegeven. Er wordt dan een rode streep door HTTPS getoond en een rood kruis door het slotje.
Deze posting is gelocked. Reageren is niet meer mogelijk.