Windows 10 doet SHA-1 deze zomer in de ban

Https-verbindingen met verouderde certificaten krijgen geen slotje meer.

Microsoft faseert SHA-1 versneld uit. In de tweede helft van het jaar worden Windows 10-gebruikers gewaarschuwd. Vanaf begin 2017 kunnen er geen https-verbindingen meer tot stand worden gebracht met sites, apps en clients die een certificaat hebben dat met de oude hashfunctie is gegenereerd.

Versleutelde verbindingen met zo'n oud certificaat worden vanaf de Windows 10-update deze zomer gemarkeerd als onveilig. Dat betekent dat er een waarschuwing verschijnt en het https-slotje niet wordt weergegeven. Vanaf Patch Tuesday in februari 2017 is het voor gebruikers niet meer mogelijk om zulke sites te bezoeken.




Sneller SHA-1 uitbannen

Dit jaar moet de wereld overstappen op SHA-2. De tijd dringt voor SHA-1, nu er steeds nieuwe aanvallen verschijnen. Beveiligingsgoeroe Adi Shamir zei onlangs te verwachten dat er binnen enkele maanden een collisionaanval zal verschijnen voor SHA-1 die definitief bewijst dat het protocol achterhaald is.

Microsoft speelde al eerder met het idee om de SHA-1-ban te vervroegen. Ook Google's Chrome gaat over op waarschuwingen voor het blokkeren volgend jaar. Per 1 januari 2017 moet SHA-1 volgens de roadmaps van browserfabrikanten als Microsoft, Google en Mozilla naar het verleden zijn verwezen.

Legacy-ellende

Het verdwijnen van SHA-1 heeft vooral gevolgen voor legacy-apparatuur die geen updates meer ontvangen of waarbij het niet mogelijk is om te upgraden om met SHA-2 om te gaan. Appliances en clients waarbij het niet mogelijk is om SHA-2-certificaten te introduceren, kunnen niet meer worden verbonden met moderne browsers.

De meeste apparaten van gebruikers en sitebeheerders zijn er wel klaar voor en het zullen vooral bedrijven zijn die nog enige hinder kunnen ondervinden van de overstap.