Managed hosting door True

Discussie

‘Onveilig SHA-1 blijft nog jaren in gebruik’

 

De grote browsers doen SHA-1 in de ban, maar het hashing-algoritme beklijft. Nog jaren. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.

De kraakbaarheid van SHA-1 is al sinds 2005 een onderwerp dat geleidelijk opschuift van theoretisch naar praktisch en van praktisch mogelijk naar betaalbaar uitvoerbaar. De grote browsermakers Google, Microsoft en Mozilla doen het bejaarde hashing-algoritme voor versleuteling vanaf begin 2017 in de ban. Websites die voor hun beveiligingscertificaten nog op SHA-1 vertrouwen worden dan geblokkeerd, met een duidelijke waarschuwing aan de eindgebruiker.

Daarmee wordt de rol van SHA-1 verder teruggedrongen. Maar echt uitgebannen wordt deze hashing-technologie uit 1995 daarmee niet. De browsermakers bieden namelijk nog een uitweg. Zo kunnen eindgebruikers onveilig verklaarde sites toch bezoeken door de waarschuwing te negeren. Verder vallen zelf geïnstalleerde en zelf ondertekende certificaten (maar ook cross-signed certificaten) niet onder de algemene verbanning. Dit om legacy-systemen, in het bedrijfsleven, niet onklaar te maken. Verder valt SHA-1 natuurlijk ook te gebruiken naast het web, voor bijvoorbeeld opgeslagen wachtwoorden. De kraakbare encryptie is dus nog lang niet weg. Wat vind jij?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5885546). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Er zullen de eerste jaren zeker nog websites blijven bestaan waar SHA-1 nog gebruikt wordt.
Zeker 90% van de websites voldoet niet eens aan de W3C standaard, dus mijn verwachtingen zijn hier ook erg laag.

Sites die niet (geheel) aan de W3C standaard voldoen, worden niet geblokkeerd, je ziet geen waarschuwing, en waarschijnlijk merk je dat als bezoeker van de site niet eens. De maker van de site heeft dan geen enkele prikkel om zijn site te verbeteren.

Sites met SHA-1 certificaten worden over een maand wel geblokkeerd, of zijn pas na het wegklikken van enkele waarschuwingen te bezoeken. Dit kost de site bezoekers, en daardoor advertentie-inkomsten. De maker gaat zijn site daarom zo snel mogelijk aanpassen.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij Microsoft
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×