Over zeven weken stopt internetgigant Akamai met de ondersteuning van sha-1-certificaten, wat gevolgen voor gebruikers van Symbian-telefoons, Windows XP Service Pack 2 en oudere Android-toestellen kan hebben. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken.
Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het sha-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft.
Uit vorig jaar gepubliceerd onderzoek blijkt dat het veel goedkoper is om sha-1-certificaten aan te vallen dan voorheen werd aangenomen. Daarom zijn verschillende partijen begonnen met het uitfaseren van sha-1. Zo beschouwen Internet Explorer 11 en Microsoft Edge op Windows 10 websites met een sha-1-certificaat niet langer meer als veilig en tonen ook geen slot-icoon. Mozilla zal deze maatregel in Firefox 51 doorvoeren, die voor januari 2017 staat gepland.
Ook Akamai gaat met de ondersteuning van deze certificaten stoppen. De internetgigant waarschuwt dat dit gevolgen voor softwaresystemen en applicaties kan hebben. Het is dan ook belangrijk dat organisaties voorbereidingen treffen en voldoende testen, zegt Erik Nygren van Akamai. Organisaties die nog van sha-1-certificaten gebruikmaken zullen naar een veiliger hashingalgoritme moeten overstappen. Veel partijen op het web zijn inmiddels op RSA sha-256-certificaten overgestapt. Inmiddels zou meer dan 95% van de certificaten die Akamai via het eigen content delivery netwerk (cdn) aanbiedt van dit algoritme gebruikmaken. Toch komt het voor dat organisaties eigen applicaties hebben die stuk gaan als het sha-1-certificaat door een sha-256-certificaat wordt vervangen.
Een ander groot risico is dat sommige oude clients, zoals Symbian-telefoons, computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan. Eerder waarschuwde Twitter nog dat hierdoor miljoenen internetgebruikers gedupeerd zouden worden, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken tenzij ze hun apparatuur upgraden. Akamai stelt echter dat het tijd is om sha-1 vaarwel te zeggen, ook nu browsers en andere partijen dit doen. De internetgigant zal het algoritme daarom vanaf 27 december dit jaar niet meer ondersteunen.
Deze posting is gelocked. Reageren is niet meer mogelijk.