Microsoft blokkeert sha-1-certificaten in Edge en IE

[Captain Kirk]

Microsoft heeft dinsdag updates voor Edge en Internet Explorer uitgebracht die ervoor zorgen dat https-sites met een sha-1-certificaat niet meer worden geladen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden.

Een aanleiding om sha-1-certificaten te blokkeren is dat sha-1 kwetsbaar is voor collision-aanvallen. Bij zo'n aanval kan een aanvaller extra certificaten genereren die dezelfde digitale handtekening als het origineel hebben. Met zo'n certificaat is het mogelijk om spoofing-, phishing- en man-in-the-middle-aanvallen uit te voeren. Edge- en IE-gebruikers die nu een website met een sha-1-certificaat bezoeken krijgen een melding te zien dat de website een ongeldig certificaat gebruikt. Gebruikers hebben nog wel de mogelijkheid om de website te bezoeken.

Verder is Microsoft van plan om internetgebruikers te waarschuwen over de risico's van het downloaden van software die met een sha-1-certificaat is gesigneerd. De softwaregigant wil ervoor zorgen dat alle applicaties op Windows gebruikers straks voor zwakke cryptografie zoals sha-1 kunnen waarschuwen. Uiteindelijk wil Microsoft sha-1 nergens meer binnen Windows vertrouwen. Afhankelijk van de ontwikkelingen met betrekking tot het aanvallen van sha-1 zal de planning hierop worden afgestemd.

 

 

bron: security.nl