Het zat er al een tijdje aan te komen, maar in de volgende versie van Google’s Chrome zullen HTTPS websites met een SHA-1 certificaat duidelijk gemarkeerd worden als onveilig via het rode kruis in de URL balk.

 

Wat betekent dit juist?

Google kondigde de wijziging al een hele tijd geleden aan, maar vanaf de volgende versie van Chrome is het dus zo ver. Websites die nog een SSL certificaat gebruiken met het SHA-1 encryptie algoritme, zullen duidelijk als onveilig gemarkeerd worden.

De website zal echter nog steeds laden. De gebruiker moet niet het typische “Your connection is not private. Are you sure you want to continue?” scherm doorklikken. Er is dus geen “hindernis” bij het benaderen van de site.

Maar de URL balk zal niet langer het vertrouwde groene HTTPs icoon kennen, er komt een erg duidelijk rood kruis om aan te geven dat deze verbinding eigenlijk onveilig is.

Waarom is SHA-1 onveilig?

Al een tijdje geleden werd ontdekt dat de encryptie van het SHA-1 algoritme niet meer bestand is tegen de hoeveelheid rekenkracht die huidige computers aan boord hebben. Daarom werd reeds lang het SHA-256 algoritme gebruikt om nieuwe SSL certificaten uit te brengen.

Alle Nucleus certificaten van de laatste jaren zijn ook met het SHA-256 algoritme uitgegeven.

Hoe ziet de onveilig-melding er uit?

We kunnen spieken bij een bekende website onder de geeks: XKCD.

In de huidge Chrome versie, 41, komt de website er perfect door. Let wel, de groene tekst op het HTTPS icoon was reeds enige tijd verdwenen, om aan te geven dat deze aanpassing er zat aan te komen.

xkcd_sha1_chrome

Bezoeken we de website in de laatste Chrome Beta of Chrome Canary versie, die respectievelijk versie 42 en 44 van de Chrome browser bevatten, krijgen we echter al een andere melding.

xkcd_sha1_chrome_blocked

De website laadt nog steeds, maar maakt het wel duidelijk dat dit een onveilige verbinding is. Ook al is het SSL certificaat geldig. De melding wordt enkel gegeven voor SHA-1 SSL certificaten met een uiterlijke geldigheidsdatum van 2016 of later. Certificaten die voor 2016 vervallen krijgen de melding niet.

De hele chain telt

SSL certificaten worden opgebouwd door een hele chain of trust, van Root Certificates tot Intermediates tot het uiteindelijke Domain of Organization SSL certificate. In het geval van de XKCD website is het Domain Certificate in orde, maar het intermediate niet.

xkcd_sha265_certificate

Het bestelde SSL certificaat had het correcte SHA-256 algoritme, maar de intermediate helaas niet. Daarom markeert Chrome hem als onveilig.

xkcd_rapidssl_intermediate_sha1

Wat doet Nucleus?

We zitten zelf ook niet stil natuurlijk. Vroeger hebben wij ook nog SSL certificaten uitgegeven met SHA-1 algoritme, omdat dat de beste browser ondersteuning had en destijds nog “OK” was om te doen. Maar de tijden veranderen, zeker in de security wereld.

Alle klanten die nog een SHA-1 certificaat hebben dat via ons besteld werd, zullen we contacteren om hun certificaat te vervangen.

Hulp nodig?

Ben je niet zeker of je SSL verbinding nog zal werken bij de volgende versie van Google Chrome? Neem dan even contact met ons op, ons support team helpt je heel graag verder.

Gerelateerde berichten
Nucleus - Laravel

Wat is de beste manier om Laravel te hosten?

Wat is de beste manier om Laravel te hosten? Door Laravel, Forge en gebruiksvriendelijke deployments te combineren met managed hosting. Lees hier waarom!

Lees meer

Spectre en Meltdown

Spectre en Meltdown: wat was de échte impact ?

Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu […]

Lees meer

Spectre en Meltdown

Important information regarding Meltdown & Spectre CPU vulnerabilities

By exception, this blogpost will be in English to inform all our clients. News has come out about highly critical vulnerabilities in all Intel […]

Lees meer