image

Akamai stopt met ondersteuning sha-1-certificaten

vrijdag 4 november 2016, 11:13 door Redactie, 7 reacties

Over zeven weken stopt internetgigant Akamai met de ondersteuning van sha-1-certificaten, wat gevolgen voor gebruikers van Symbian-telefoons, Windows XP Service Pack 2 en oudere Android-toestellen kan hebben. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken.

Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het sha-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft.

Uit vorig jaar gepubliceerd onderzoek blijkt dat het veel goedkoper is om sha-1-certificaten aan te vallen dan voorheen werd aangenomen. Daarom zijn verschillende partijen begonnen met het uitfaseren van sha-1. Zo beschouwen Internet Explorer 11 en Microsoft Edge op Windows 10 websites met een sha-1-certificaat niet langer meer als veilig en tonen ook geen slot-icoon. Mozilla zal deze maatregel in Firefox 51 doorvoeren, die voor januari 2017 staat gepland.

Ook Akamai gaat met de ondersteuning van deze certificaten stoppen. De internetgigant waarschuwt dat dit gevolgen voor softwaresystemen en applicaties kan hebben. Het is dan ook belangrijk dat organisaties voorbereidingen treffen en voldoende testen, zegt Erik Nygren van Akamai. Organisaties die nog van sha-1-certificaten gebruikmaken zullen naar een veiliger hashingalgoritme moeten overstappen. Veel partijen op het web zijn inmiddels op RSA sha-256-certificaten overgestapt. Inmiddels zou meer dan 95% van de certificaten die Akamai via het eigen content delivery netwerk (cdn) aanbiedt van dit algoritme gebruikmaken. Toch komt het voor dat organisaties eigen applicaties hebben die stuk gaan als het sha-1-certificaat door een sha-256-certificaat wordt vervangen.

Een ander groot risico is dat sommige oude clients, zoals Symbian-telefoons, computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan. Eerder waarschuwde Twitter nog dat hierdoor miljoenen internetgebruikers gedupeerd zouden worden, voornamelijk in ontwikkelingslanden. Deze gebruikers kunnen straks geen versleutelde websites meer bezoeken tenzij ze hun apparatuur upgraden. Akamai stelt echter dat het tijd is om sha-1 vaarwel te zeggen, ook nu browsers en andere partijen dit doen. De internetgigant zal het algoritme daarom vanaf 27 december dit jaar niet meer ondersteunen.

Reacties (7)
04-11-2016, 11:23 door meinonA
computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan

Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
04-11-2016, 11:31 door Anoniem
Door meinonA:
computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan

Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
Kun je dit even uitleggen? Wat is precies quatsch?
04-11-2016, 11:50 door Spiff has left the building
Door Redactie, 04-11, 11:13 uur:
Zo beschouwen Internet Explorer 11 en Microsoft Edge op Windows 10 websites met een sha-1-certificaat niet langer meer als veilig en tonen ook geen slot-icoon.
Niet alleen op Windows 10, maar inmiddels ook IE11 op Windows 7 en 8.1, als ik me niet vergis.
Zie:
https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/:
April 29, 2016 10:00 am
An update to our SHA-1 deprecation roadmap
Starting with the Windows 10 Anniversary Update, Microsoft Edge and Internet Explorer will no longer consider websites protected with a SHA-1 certificate as secure and will remove the address bar lock icon for these sites. [...] This change will be in upcoming Windows Insider Preview builds soon, and will be deployed broadly this summer. [...]
This update will be delivered to Microsoft Edge on Windows 10 and Internet Explorer 11 on Windows 7, Windows 8.1 and Windows 10, and will only impact certificates that chain to a CA in the Microsoft Trusted Root Certificate program. [...]

Ik vermeldde dat ook al op 18 oktober, zie: https://www.security.nl/posting/489397#posting489414

Dat dat inmiddels ook geldt voor IE11 op Windows 7, dat ontdekte ik in oktober door de nieuwe Microsoft Update Catalog pagina, die toen nog een SHA-1 in plaats van een SHA-2 certificaat had.
IE11 op Windows 7 toont daarvoor toen geen slot-icoontje meer in de adresbalk.
Inmiddels heeft de nieuwe Microsoft Update Catalog pagina wel een SHA-2 certificaat, en toont IE11 op Windows 7 voor die pagina wel een slot-icoontje meer in de adresbalk.
04-11-2016, 13:09 door Anoniem
Door Anoniem:
Door meinonA:
computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan

Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
Kun je dit even uitleggen? Wat is precies quatsch?

quatsch = dialect voor onzin, niet correct, niet relevant.
04-11-2016, 13:09 door Anoniem
Je kunt hier domeinen checken op SHA1: https://shaaaaaaaaaaaaa.com/
We lezen daar:
As of January 1, 2016, no publicly trusted CA is allowed to issue a SHA-1 certificate.
So any new certificate you get should automatically use a SHA-2 algorithm for its signature.

Dus zijn ze rijkelijk laat hiermee. Net als met alles.
Bijvoorbeeld eerst het koperdraad verbindinkje nog even lekker uitbuiten tot we tot een glasvezel investering besluiten.
Wachten tot het niet meer gaat. Net als met RC4, bij comcast.

Gedwongen worden door de markt of de toezichthouder, anders zijn ze niet te bewegen.

De grote bulk jongens, als het hier genoemde Akamai,
hebben vaak de meest achterlopende techniek geïmplementeerd
.
De klant is niet op de hoogte en pikt het wel denken ze.
Zo blijven we onveilig bezig.
04-11-2016, 15:34 door Anoniem
Door meinonA:
computers met Windows XP Service Pack 2 en oudere Android-toestellen, niet met sha-256-certificaten kunnen omgaan

Wat een kwats; daar kun je ook gewoon fatsoenlijke browsers op installeren.
Nieuwe browsers ondersteunen vaak geen oude meuk zoals XP SP2 of Symbian...
04-11-2016, 20:42 door Anoniem
Dit is niet heel verrassend. Browsermakers stoppen met SHA1-ondersteuning vanaf 1 januari 2017, en stellen bovendien verplicht aan alle in de browser opgenomen vertrouwde rootcertificaten dat deze geen nieuwe SHA1-certificaten meer uitgeven vanaf 1 januari dit jaar (fraude hiermee is wat StartCom/WoSign in de problemen bracht) en dat alle SHA1-certificaten die nu nog in omloop zijn uiterlijk op 31 december om 23:59 moeten verlopen.

Dat Akamai vijf dagen eerder de SHA1-ondersteuning beëindigt is dus niet heel spectaculair.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.