Akamai stopt met ondersteuning sha-1-certificaten
Over zeven weken stopt internetgigant Akamai met de ondersteuning van sha-1-certificaten, wat gevolgen voor gebruikers van Symbian-telefoons, Windows XP Service Pack 2 en oudere Android-toestellen kan hebben. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken.
Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het sha-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft.
Uit vorig jaar gepubliceerd onderzoek blijkt dat het veel goedkoper is om sha-1-certificaten aan te vallen dan voorheen werd aangenomen. Daarom zijn verschillende partijen begonnen met het uitfaseren van sha-1. Zo beschouwen Internet Explorer 11 en Microsoft Edge op Windows 10 websites met een sha-1-certificaat niet langer meer als veilig en tonen ook geen slot-icoon. Mozilla zal deze maatregel in Firefox 51 doorvoeren, die voor januari 2017 staat gepland.
Ook Akamai gaat met de ondersteuning van deze certificaten stoppen. De internetgigant waarschuwt dat dit gevolgen voor softwaresystemen en applicaties kan hebben. Het is dan ook belangrijk dat organisaties voorbereidingen treffen en voldoende testen, zegt Erik Nygren van Akamai. Organisaties die nog van sha-1-certificaten gebruikmaken zullen naar een veiliger hashingalgoritme moeten overstappen. Veel partijen op het web zijn inmiddels op RSA sha-256-certificaten overgestapt. Inmiddels zou meer dan 95% van de certificaten die Akamai via het eigen content delivery netwerk (cdn) aanbiedt van dit algoritme gebruikmaken. Toch komt het voor dat organisaties eigen applicaties hebben die stuk gaan als het sha-1-certificaat door een sha-256-certificaat wordt vervangen.
Een ander groot risico is dat sommige oude clients, zoals Symbian-telefoons, computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan. Eerder waarschuwde Twitter nog dat hierdoor miljoenen internetgebruikers gedupeerd zouden worden, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken tenzij ze hun apparatuur upgraden. Akamai stelt echter dat het tijd is om sha-1 vaarwel te zeggen, ook nu browsers en andere partijen dit doen. De internetgigant zal het algoritme daarom vanaf 27 december dit jaar niet meer ondersteunen.
Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
Zo beschouwen Internet Explorer 11 en Microsoft Edge op Windows 10 websites met een sha-1-certificaat niet langer meer als veilig en tonen ook geen slot-icoon.
Zie:
https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/:
An update to our SHA-1 deprecation roadmap
Starting with the Windows 10 Anniversary Update, Microsoft Edge and Internet Explorer will no longer consider websites protected with a SHA-1 certificate as secure and will remove the address bar lock icon for these sites. [...] This change will be in upcoming Windows Insider Preview builds soon, and will be deployed broadly this summer. [...]
This update will be delivered to Microsoft Edge on Windows 10 and Internet Explorer 11 on Windows 7, Windows 8.1 and Windows 10, and will only impact certificates that chain to a CA in the Microsoft Trusted Root Certificate program. [...]
Ik vermeldde dat ook al op 18 oktober, zie: https://www.security.nl/posting/489397#posting489414
Dat dat inmiddels ook geldt voor IE11 op Windows 7, dat ontdekte ik in oktober door de nieuwe Microsoft Update Catalog pagina, die toen nog een SHA-1 in plaats van een SHA-2 certificaat had.
IE11 op Windows 7 toont daarvoor toen geen slot-icoontje meer in de adresbalk.
Inmiddels heeft de nieuwe Microsoft Update Catalog pagina wel een SHA-2 certificaat, en toont IE11 op Windows 7 voor die pagina wel een slot-icoontje meer in de adresbalk.
Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
quatsch = dialect voor onzin, niet correct, niet relevant.
We lezen daar:
So any new certificate you get should automatically use a SHA-2 algorithm for its signature.
Dus zijn ze rijkelijk laat hiermee. Net als met alles.
Bijvoorbeeld eerst het koperdraad verbindinkje nog even lekker uitbuiten tot we tot een glasvezel investering besluiten.
Wachten tot het niet meer gaat. Net als met RC4, bij comcast.
Gedwongen worden door de markt of de toezichthouder, anders zijn ze niet te bewegen.
De grote bulk jongens, als het hier genoemde Akamai,
hebben vaak de meest achterlopende techniek geïmplementeerd
.
De klant is niet op de hoogte en pikt het wel denken ze.
Zo blijven we onveilig bezig.
Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
Dat Akamai vijf dagen eerder de SHA1-ondersteuning beëindigt is dus niet heel spectaculair.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
