De grote browsers doen SHA-1 in de ban, maar het hashing-algoritme beklijft. Nog jaren. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De kraakbaarheid van SHA-1 is al sinds 2005 een onderwerp dat geleidelijk opschuift van theoretisch naar praktisch en van praktisch mogelijk naar betaalbaar uitvoerbaar. De grote browsermakers Google, Microsoft en Mozilla doen het bejaarde hashing-algoritme voor versleuteling vanaf begin 2017 in de ban. Websites die voor hun beveiligingscertificaten nog op SHA-1 vertrouwen worden dan geblokkeerd, met een duidelijke waarschuwing aan de eindgebruiker.
Daarmee wordt de rol van SHA-1 verder teruggedrongen. Maar echt uitgebannen wordt deze hashing-technologie uit 1995 daarmee niet. De browsermakers bieden namelijk nog een uitweg. Zo kunnen eindgebruikers onveilig verklaarde sites toch bezoeken door de waarschuwing te negeren. Verder vallen zelf geïnstalleerde en zelf ondertekende certificaten (maar ook cross-signed certificaten) niet onder de algemene verbanning. Dit om legacy-systemen, in het bedrijfsleven, niet onklaar te maken. Verder valt SHA-1 natuurlijk ook te gebruiken naast het web, voor bijvoorbeeld opgeslagen wachtwoorden. De kraakbare encryptie is dus nog lang niet weg. Wat vind jij?
Er zullen de eerste jaren zeker nog websites blijven bestaan waar SHA-1 nog gebruikt wordt.
Zeker 90% van de websites voldoet niet eens aan de W3C standaard, dus mijn verwachtingen zijn hier ook erg laag.
Sites die niet (geheel) aan de W3C standaard voldoen, worden niet geblokkeerd, je ziet geen waarschuwing, en waarschijnlijk merk je dat als bezoeker van de site niet eens. De maker van de site heeft dan geen enkele prikkel om zijn site te verbeteren.
Sites met SHA-1 certificaten worden over een maand wel geblokkeerd, of zijn pas na het wegklikken van enkele waarschuwingen te bezoeken. Dit kost de site bezoekers, en daardoor advertentie-inkomsten. De maker gaat zijn site daarom zo snel mogelijk aanpassen.