Utfasning av SHA-1 bör skyndas på

2015-10-29

Som vi tidigare rapporterat (SHA-1 närmar sig slutet, 2014-11-13) börjar använding av hash-algoritmen SHA-1, bl.a. som underlag för certifikatsignaturer, närma sig slutet. Alla seriösa och kommerciella certifikatutfärdare med avsikt att bibehålla sin status och sitt medlemskap i diverse Root CA program har sedan en tid tillbaka påbörjat en gradvis utfasning av algoritmen. Redan under november 2014 började Google sin utfasning genom att flagga certifikat som signerats med SHA-1-algoritmen som underlag för certifikatets signatur som osäkra i webbläsaren Google Chrome.

Nyligen presenterades en forskningsrapport där det påvisas att det är enklare att hitta kollisioner inom ramarna för SHA-1 än tidigare trott. Det innebär till exempel att det går att skapa falska certifikat på ett enklare vis än tidigare, genom att överföra en giltig signatur till ett falskt certifikat som har samma hashvärde som ett äkta certifikat. Upptäckterna i denna rapport har lett till att bland andra Google och Microsoft för närvarande tittar på att korta ner stödet för SHA-1 ytterligare. Microsoft har nämnt juni 2016 som möjligt slutdatum.

Alla organisationer som fortfarande har giltiga certifikat där SHA-1 används som underlag för certifikatets signatur bör börja planera för ett byte till certifikat där en hashfunktion ur SHA-2 används istället, t.ex. SHA-256 eller SHA-512. För att kunna hantera sådana system där stöd för hashfunktioner ur SHA-2 eventuellt saknas bör arbetet inledas i god tid innan stödet för SHA-1 tas bort helt av mjukvaruleverantörer och certifikatsutfärdare. Det är av stor vikt att kartlägga vilka system/applikationer/operativsystem som används och vilka som saknar stöd för hashfunktioner ur SHA-2. Certezza kan vid förfrågan hjälpa till med sådan kartläggning och rådgivning kring hur kompatibilitet uppnås i fall då detta saknas.

Certezzas certifikatfunktion kan stötta er med övergången från SHA-1 till SHA-2. Kontakta oss via cert@certezza.net eller 08-791 92 00 (1 för Support), eller se vår certifikatportal på https://certifikat.certezza.net/order.

Läs mer