Informatie over het vereisen van de SHA-2-hashfunctie
Alle SSL-certificaten die de oude SHA-1-hashfunctie gebruiken, moeten van een nieuwe sleutel worden voorzien om onmiddellijk te kunnen overstappen op het gebruik van SHA-2. SHA-1 is potentieel onveilig waardoor het doel van het SSL-certificaat in het geding komt.
Aanvullende informatie
SSL-certificaten versleutelen (coderen) de communicatie tussen de server van je website en de browser van je afzonderlijke bezoekers op een dergelijke wijze dat deze niet door andere computers kan worden gelezen. Dit obstakel voorkomt dat anderen kunnen meeluisteren in het gesprek en zaken te weten kunnen komen die niet voor hen zijn bedoeld, zoals creditcardnummers en burgerservicenummer. De versleuteling wordt uitgevoerd via een hashfunctie.
Hoewel ze verschillende soorten informatie versleutelen, gebruiken certificaten voor het ondertekenen van programmacode dezelfde hashfunctie voor het 'ondertekenen' van uitvoerbare programmacode wanneer de ontwikkelaar daarvan deze uitgeeft. Als er met de programmacode is geknoeid, werkt de handtekening die van een hash is voorzien niet en wordt de gebruiker gewaarschuwd wanneer deze de programmacode probeert uit te voeren.
De hashfunctie die voor 23 december 2013 het vaakst werd gebruikt, was SHA-1. Deze functie werd gebruikt sinds SSL-certificaten voor het eerst werden ontwikkeld halverwege de jaren negentig.
Naarmate computers steeds krachtiger worden, wordt het waarschijnlijker dat informatie die van een SHA-1-hash is voorzien, wordt ontsleuteld. Microsoft® dringt met het oog hierop aan op een nieuwe richtlijn voor de bedrijfstak die vereist dat alle certificeringsinstanties, waaronder wij, overstappen op het gebruik van SHA-2 als de standaard hashfuncties. Google doet eveneens mee en zorgt ervoor dat de Chrome®-browser bezoekers zal waarschuwen voor beveiligingsproblemen met certificaten die gebruikmaken van SHA-1.
Moet mijn certificaat SHA-2 gebruiken?
Nieuwe certificaten die wij verstrekken met een verloopdatum na 1 januari 2017, kunnen alleen SHA-2 gebruiken.
Code-ondertekenend certificaten met een vervaldatum na 31 december 2015 moeten SHA-2 gebruiken, met die uitzondering dat code-ondertekenende certificaten met SHA-1 nog steeds mogen worden gebruikt voor het ondertekenen van bestanden voor gebruik onder Windows Vista en eerdere versies van Windows. Lees voor meer informatie het Microsoft-artikel Afdwinging door Windows van codeondertekening en tijdstempels voor Authenticode (Windows Enforcement of Authenticode Code Signing and Timestamping).
Voor certificaten die al zijn verstrekt, is het gebruik van SHA-2 niet verplicht, maar het wordt wel met klem aangeraden. Wanneer je nu overschakelt, verbeter je de beveiliging van je server en zorg je ervoor dat deze klaar is voor de toekomst. Je kunt overschakelen op SHA-2 voor je certificaat door het certificaat van een nieuwe sleutel te voorzien. Zie Mijn certificaat van een nieuwe sleutel voorzien voor meer informatie.