Ook Firefox gaat ondersteuning SHA-1-algoritme stoppen
Na Microsoft en Google gaat ook Mozilla de ondersteuning van het SHA-1-algoritme stoppen, zo heeft de browserontwikkelaar laten weten. Het SHA-1-algoritme wordt gebruikt voor het signeren van SSL-certificaten. De veiligheid van het algoritme ligt al langere tijd onder vuur omdat het steeds kwetsbaarder voor collision-aanvallen worden. Bij een collision-aanval is het mogelijk om een vals SSL-certificaat te maken, waarbij de SHA-1-hash nog steeds overeenkomt met de hash van het legitieme certificaat dat door een Certificaat Autoriteit is uitgegeven.
Om internetgebruikers tegen frauduleuze SSL-certificaten te beschermen stelt Mozilla dat Certificaat Autoriteiten na 1 januari 2016 geen SSL-certificaten meer moeten uitgeven die met SHA-1 zijn gesigneerd. Daarnaast moeten deze certificaten na 1 januari 2017 helemaal niet meer worden vertrouwd. Mozilla is nu van plan om een beveiligingswaarschuwing aan de webconsole toe te voegen om webontwikkelaars eraan te herinneren dat ze geen SHA-1-gebaseerde certificaten moeten gebruiken.
Ook zal er een duidelijkere waarschuwing verschijnen als het certificaat na 1 januari 2017 nog geldig is, aangezien Mozilla deze certificaten dan zal weigeren. De waarschuwingen zullen de komende weken worden geïmplementeerd, wat inhoudt dat ze waarschijnlijk begin 2015 in Firefox zullen verschijnen. Als Firefox na 1 januari 2017 een SHA-1-gebaseerd certificaat tegenkomt krijgen gebruikers een waarschuwing dat de verbinding niet betrouwbaar is.
Of zijn er nog (veel) compatibiliteitsproblemen de vervanger?
Bij de meeste CA's kan je trouwens geen eens meer een SHA-1 certificaat krijgen.
Toevoeging: SHA-1 is geen signing algoritme, maar een hashing algoritme. Het is de hash die wordt gesigned en daarom kan de hash-functie gezien worden als onderdeel van het signing algoritme.
Of zijn er nog (veel) compatibiliteitsproblemen de vervanger?
Erger, de hele keten van Comodo certificaten daarbij gebruikt SHA1! Om precies te zijn:
1) AddTrust External CA Root (geldig tot 2020-05-30 10:48:38 GMT)
2) COMODO Certification Authority (geldig tot 2020-05-30 10:48:38 GMT)
3) EssentialSSL CA (geldig tot 2019-12-31 23:59:59 GMT)
4) checkjeschoolgebouw.nl (geldig tot 2015-09-23 23:59:59 GMT)
Voor het root certificaat (1) maakt dit nauwelijks uit, maar van beide intermediate certificaten is het beschamend dat deze nog worden ingezet; Chrome zal hier binnenkort al over gaan klagen, en dus ook over het eindcertificaat. En Firefox dus kennelijk ook...
Kennelijk hebben CSP's hun zaakjes nog lang niet voor elkaar!
Of zijn er nog (veel) compatibiliteitsproblemen de vervanger?
Ja, er zijn nog flink wat (enterprise) applicaties die geen SHA2 ondersteunen.
Eigenlijk zijn ze veel te traag met het afbouwen, maar men is in de security wereld nou eenmaal erg langzaam met het opnemen van nieuwe standaarden. Niet verbazend trouwens, ik geloof dat er over 17/500 sites met SHA-1 werd gesproken, dat is 0.034% van de sites. De massa is nou eenmaal altijd langzaam, niet alleen met security.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
