Voor SSL certificaten werd tot voor kort het hashing algoritme SHA-1 gebruikt, omdat hierin zwakheden zijn ontdekt wordt diens opvolger SHA-2 de nieuwe standaard. De internetbrowsers en certificaat-uitgevers zijn nu bezig met de uitfasering van SHA-1. Het gevolg is dat SHA-1 certificaten die in 2016 of daarna nog geldig zijn, binnenkort problemen gaan geven.

Uitgevers van certificaten genereren SSL certificaten en ondertekenen deze digitaal. Voor deze ondertekening zijn verschillende algoritmes beschikbaar, waaronder het SHA-1 en SHA-2 algoritme. Er zijn zwakheden in SHA-1 ontdekt waardoor het National Institute of Standards and Technology (NIST) adviseert om voor de uitgifte van digitale certificaten over te stappen op SHA-2. De opvolger SHA-2 bevat niet de zwakheden die SHA-1 wel bevat en is hierdoor veiliger.

De internetbrowsers

De browsers zullen op korte termijn foutmeldingen gaan geven bij SHA-1 certificaten, waarbij de termijn en het type waarschuwing verschilt per browser. De nu bekende data zijn als volgt:

• Microsoft stopt in Internet Explorer per 2016 met het ondersteunen van SHA-1 code signing certificaten, en per 2017 met de ondersteuning van SHA-1 SSL certificaten. In juli 2015 worden deze data mogelijk herzien.
• Google gaat al vanaf eind september (2014) in Chrome versie 39 waarschuwingen geven bij SHA-1 certificaten die na 1 januari 2017 nog geldig zijn. Per versie worden de waarschuwingen ernstiger.
• Ook Mozilla start in Firefox de aankomende maanden met het afwijzen van SHA-1 certificaten die verlopen na 2016.

De certificaat-uitgevers

Conform de planning van de browsers geven de CA’s SHA-1 certificaten uit met een geldigheid tot uiterlijk eind 2016. Op dit moment bieden ze de keuze tussen SHA-1 en SHA-2, maar is de standaardoptie veelal SHA-2.

Alle nieuwe certificaten geleverd via Business Hosting worden vanaf dit moment standaard als SHA-2 geleverd. Op verzoek kunt u nog wel kiezen voor SHA-1, maar met een beperkte looptijd tot uiterlijk 31 december 2015.

“Indien uw huidige certificaat doorloopt tot na 31 december 2015, dan kunt U uw huidige SHA-1 certificaat gratis laten heruitgeven als SHA-2 certificaat.”

De meeste systemen ondersteunen inmiddels SHA-2, behalve bijvoorbeeld oudere Windows XP versies. Zorg er dus voor dat uw systemen klaar zijn voor de overgang naar SHA-2.

Meer weten over SHA-2?

Meer weten over SHA-2 certificaten of is er iets nog niet helemaal duidelijk? Neem direct contact op!