Waarom moet ik migreren naar SHA-2 TLS/SSL-certificaten?
DigiCert heeft SHA-256 de standaard gemaakt voor alle TLS/SSL-certificaten die worden uitgegeven, en adviseert zijn klanten om hun SHA-1-certificaten te updaten naar SHA-2. De reden hiervoor is dat SHA-1 al sinds 2006 niet meer als veilig wordt beschouwd. Het NIST heeft het gebruik van SHA-1 al in 2011 afgeraden en staat het gebruik ervan voor digitale handtekeningen sinds 2013 niet meer toe. Cryptologiespecialisten dringen er bij beheerders op aan hun SHA-1-certificaten te vervangen, omdat de risico's van SHA-1 nog veel groter zijn dan werd gedacht.
Hoe kan ik SHA-1-certificaten snel opzoeken en vervangen?
Met de discovery-cloudtool in DigiCert CertCentral® kunt u SHA-1 TLS/SSL-certificaten snel opsporen en vervangen door een gratis SHA-2-certificaat van DigiCert. Deze discoverytool vindt certificaten in zelfs de meest complexe gedistribueerde netwerken. We bieden ook meerdere scanopties voor het ontdekken en monitoren van alle certificaten, persoonlijk en openbaar, ongeacht van welke certificaatinstantie ze afkomstig zijn.
TLS/SSH (Secure Shell Keys) Discovery bevat twee onderdelen waarmee u netwerken uitgebreid kunt scannen op de aanwezigheid van TLS-certificaten en SSH-sleutels:
- Cloud scanning: een snelle en eenvoudige optie voor het vinden van TLS-certificaten op openbaar bereikbare servers. Deze optie vereist geen installatie en kan onmiddellijk worden gestart vanuit de CertCentral-gebruikersinterface.
- Met een netwerkscan worden alle openbare en persoonlijke TLS-certificaten gevonden in complexe gedistribueerde netwerken. Scan uw omgeving grondig en genereer overzichten voor een compleet beeld van alle TLS-certificaten en SSH-sleutels.
Wanneer moet ik overstappen op SHA-2?
Google, Mozilla en Microsoft hebben het vertrouwen in SHA-1 SSL-certificaten al uitgefaseerd. In het verleden toonde Chrome ook waarschuwingen voor websites met SHA-1-certificaten. Beheerders die hun SHA-1-certificaten nu nog niet hebben vervangen voor SHA-2-certificaten moeten dat zo snel mogelijk doen.
In augustus 2014 stelde Google zich nog strenger op door te stellen dat vanaf 2014 Chrome een waarschuwing weergeeft voor websites die zijn beveiligd met als onveilig beschouwde SHA-1-certificaten. Het is de bedoeling van Google om SHA-1-certificaten nog sneller uit te faseren en de overgang vlotter te laten verlopen dan bij MD5.
In oktober 2015 publiceerde een internationaal team van cryptologiespecialisten een onderzoek waarin ze er bij beheerders op aandrongen hun SHA-1-certificaten te vervangen, omdat de risico's van SHA-1 nog veel groter waren dan werd gedacht. De gepubliceerde bevindingen zijn sterkt theoretisch en nog niet in de praktijk bewezen. En hoewel er geen acuut gevaar lijkt te zijn, raden we beheerders ten zeerste aan om zo spoedig mogelijk te migreren naar SHA-2.
Daarbij moeten ze rekening houden met de mogelijke gevolgen van zo'n update en een plan opstellen voor de volgende zaken:
- Hardwarecompatibiliteit met SHA-2
- Serversoftware-updates met ondersteuning voor SHA-2
- Clientsoftware-updates met ondersteuning voor SHA-2
- Maatwerksoftware met ondersteuning voor SHA-2
Browsers en certificeringsinstanties adviseerden al eerder om voor 2017 te migreren naar SHA-2, maar de resultaten uit actueel onderzoek zouden een stimulans voor organisaties moeten zijn om hun plannen te versnellen en hun huidige infrastructuren geschikt te maken voor SHA-2. Bezoek voor meer informatie over de planning omtrent SHA-2 onze pagina met veelgestelde vragen over SHA-2.
