Facebook gaat sha-1-certificaten intrekken

[Captain Kirk]

De komende periode zullen allerlei organisaties, softwarebedrijven en andere partijen stoppen met de ondersteuning van sha-1-certificaten en ook Facebook zal hier onderdeel van uitmaken. In eerste instantie had de sociale netwerksite nog kritiek op de maatregel, omdat miljoenen internetgebruikers hierdoor geen versleutelde websites meer zouden kunnen benaderen.

Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. Kwetsbaarheden in sha-1 kunnen een aanvaller content laten spoofen of phishing- en man-in-the-middle-aanvallen laten uitvoeren op internetgebruikers. Daarom hebben allerlei partijen, waaronder ook Google, Microsoft en Mozilla, besloten om sha-1 uit te faseren.

Vorig jaar riep Facebook nog op om de deadline uit te stellen. Uit onderzoek zou blijken dat miljoenen internetgebruikers, voornamelijk in ontwikkelingslanden, met apparaten werken die het nieuwere sha-2 niet ondersteunen. De sociale netwerksite heeft het sha-1-gebruik onderzocht en stelt dat het sinds november van dit jaar geen sha-1-verkeer meer heeft gezien en er ook geen meetbare impact was. Daarom gaat Facebook nu de eigen sha-1-certificaten intrekken, meldt productie-engineer Wojciech Wojtyniak.

 

 

bron: security.nl