Facebook en CloudFlare hebben opgeroepen om de nadere deadline voor SSL-certificaten die van het SHA-1-algoritme gebruikmaken uit te stellen, omdat hierdoor straks tientallen miljoenen mensen geen toegang meer tot versleutelde websites hebben.
Uit beveiligingsonderzoek dat eerder dit jaar werd gepubliceerd blijkt dat het veel goedkoper is om SHA-1-certificaten aan te vallen dan voorheen werd aangenomen. Daardoor is het mogelijk om malafide SSL-certificaten voor legitieme websites te genereren, zonder dat die een waarschuwing in de browser veroorzaken. Internetbedrijven hebben daarom afgesproken om de ondersteuning van SHA-1-certificaten te stoppen.
Zo laat Google Chrome al een waarschuwing zien als gebruikers dergelijke certificaten tegenkomen. Andere browsers zullen volgend jaar dit voorbeeld volgen, waarbij uiteindelijk in 2016 alle HTTPS-verbindingen die via een SHA-1-certificaat zijn opgezet niet meer door browsers worden vertrouwd. Voor met name gebruikers van oudere technologie is dit een probleem. De opvolger van SHA-1, SHA-2, wordt door oudere besturingssystemen en software namelijk niet ondersteund. Het gaat dan onder andere om Android versie 2.2 (Froyo), Windows XP met Service Pack 2 en OpenSSL 0.9.8.
Uit onderzoek van CloudFlare onder 2,2 miljard unieke internetgebruikers blijkt dat 98,31% van de browsers SHA-2 ondersteunt. 1,69% doet dat niet. Dit lijkt misschien een klein percentage, maar het gaat nog altijd om meer dan 37 miljoen mensen, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken, tenzij ze hun apparatuur upgraden. De meeste mensen zonder SHA2-ondersteuning bevinden zich in China en Afrikaanse landen, waaronder repressieve regimes. Juist in deze landen hebben mensen encryptie nodig, stelt CloudFlare.
Het bedrijf heeft een oplossing ontwikkeld, zodat websites standaard SHA-2-certificaten aanbieden, maar op een SHA-1-certificaat kunnen terugvallen als de browser van bezoekers geen SHA-2 ondersteunt. CloudFlare en Facebook pleiten dan ook voor de implementatie van een 'legacy-certificaat' dat op SHA-1 kan terugvallen, maar als dit niet voor 31 december kan worden gerealiseerd, vragen ze om uitstel van de deadline totdat een standaard voor dergelijke certificaten kan worden opgesteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.