Våra certifikatsutfärdare – Verisign, Geotrust och Thawte – har fram tills nyligen använt SHA-1 som standardhash när de skapar certifikat. Detta är nu valbart, pga av att Google, Microsoft och Mozilla har bestämt sig för att fasa ut stödet helt för SHA-1 innan 2017.
SHA-1 (engelska: Secure Hash Algorithm) är en kryptografisk hash-funktion utvecklad av amerikanska National Security Agency (NSA). SHA-1 lanserades 1993 och är en utveckling av den tidigare SHA-0.
En kryptografisk hashfunktion används för att göra om en viss data från klartext till oigenkännlig text. Ju längre hash, desto svårare blir det att knäcka innehållet med exempelvis en Bruce Force-attack.
En stor skillnad mellan SHA-1 och SHA-256 är antalet bitar som används för att skapa hashen – 160 bitar gentemot 256 bitar. SHA-1 ansågs vara en för svag hash-funktion redan 2005.
Jämförelse mellan olika hash-algoritmer i praktiken där en textfil krypterats:
Textfil.txt (text/plain) – 2644 bytes
MD5 cb4d56da42bcc68d7fb2891441461557
SHA1 0207d6ba805d1b7f713f57885870a82cfbc2d207
SHA256 17955fa2a05a7629d718771f49a032d972f3894ead8924ed084a87bd3a667a48
I och med lanseringen av webbläsaren Google Chrome 39, som planeras släppas i november 2014, så kommer Chrome att visa säkerhetsvarningar i webbläsaren om en HTTPS-sida använder ett certifikat en svagare hash algoritm än SHA-256.
Om man har ett certifikat med en löptid som löper längre än 2015-12-31, så bör man göra en kostnadsfri reissue så snart som möjligt. Ta ut en ny CSR-fil och skicka in till oss, så hjälper vi er att utfärda ett nytt framtidssäkert certifikat.
Källor:
Cryptanalysis of SHA-1 https://www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html
Google Security Blog: http://googleonlinesecurity.blogspot.se/2014/09/gradually-sunsetting-sha-1.html
Symantec: http://www.symantec.com/page.jsp?id=sha2-transition
Konklone.com: https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1