Vanaf deze zomer zullen Microsoft Edge en Internet Explorer 11 bepaalde websites met een ssl-certificaat als onveilig weergeven, wat inhoudt dat het fameuze slot-icoon niet meer wordt getoond. Het gaat om ssl-certificaten die met het sha-1-algoritme zijn gesigneerd, zo heeft Microsoft aangekondigd.
De veiligheid van het algoritme ligt al langere tijd onder vuur omdat het steeds kwetsbaarder voor collision-aanvallen wordt. Bij een collision-aanval is het mogelijk om een vals ssl-certificaat te maken, waarbij de sha-1-hash nog steeds overeenkomt met de hashwaarde van het legitieme certificaat dat door een certificaat autoriteit is uitgegeven. Vorig jaar lieten onderzoekers zien dat het uitvoeren van een dergelijke collision-aanval veel goedkoper kan dan eerst werd aangenomen. Hierdoor zou een aanvaller die zich tussen een doelwit en het internet bevindt straks het verkeer van deze gebruiker kunnen afluisteren, zonder dat die een melding of waarschuwing te zien krijgt.
Daarom is nu besloten om het sha-1-algoritme te vervangen. Dit zal echter in stappen gebeuren. Deze zomer rolt Microsoft een grote update voor Windows 10 uit, de zogeheten Windows 10 Anniversary Update. Vanaf dat moment zullen Edge en Internet Explorer websites met een sha-1-certificaat niet langer meer als veilig beschouwen en ook geen slot-icoon tonen. De websites zullen nog wel werken, maar worden niet als veilig beschouwd, aldus Microsoft. Vanaf februari 2017 zullen Edge en IE websites met sha-1 gesigneerde ssl-certificaten helemaal blokkeren. Ook Mozilla en Google zullen in hun browsers deze websites straks blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.