Opgelet: SHA1 SSL-certificaten binnenkort negatief beoordeeld in Chrome

Werkt u nog met een verouderd SHA1 SSL-certificaat voor de beveiligde verbinding met uw website? Let dan op, want Google heeft binnenkort een onaangename verrassing voor uw bezoekers!

Computers bevatten steeds meer rekenkracht. De gewone computer die de gemiddelde burger thuis heeft staan is ontelbare keren krachtiger dan de grote computerkamers die in de jaren zeventig en tachtig bij grote bedrijven stonden. Maar dit heeft wel zijn gevolgen. Waar een versleutelprogramma dat in 1993 bedacht werd, SHA1 (kort voor secure hash algorithm), toen enkel door geavanceerde computers gekraakt kon worden, zijn hedendaagse computers wel degelijk in staat om, indien zij een beetje aangepord worden, deze versleuteling te doorbreken.

Daarom wordt bij de nieuwste SSL-certificaten gebruik gemaakt van SHA256 encryptie, die moeilijker te kraken is. En uiteraard is het noodzakelijk dat iedereen - afleveraars van certificaten (Certificat Authorities) én websites - zich bewust worden van de noodzaak om enkel nog deze certificaten af te leveren en te implementeren.

Google heeft alvast een maatregel aangekondigd die de beheerders van websites bewust moet maken van het probleem - zonder de gebruiker te veel af te schrikken uiteraard. Wanneer een gebruiker in de volgende versie van de Chrome-browser (bèta-versie 42) een beveiligde website bezoekt die nog altijd SHA1 gebruikt en waarvan het certificaat verstrijkt in 2016 of later, dan zal hij nog wel toegang krijgen tot die site, maar zal hij tevens een waarschuwing zien dat het certificaat hem niet langer beschermt.

SSL certificaten foutmeldingen

Al langer aangekondigd, versneld uitgerold

Google had al wel eerder aangekondigd dat het een dergelijke maatregel overwoog, maar de vooropgestelde termijn voor de concrete implementatie was oorspronkelijk langer - pas vanaf 2016 zou de Chrome browser deze waarschuwing vertonen. Recent maakte Google echter bekend dat ook SHA1 SSL-certificaten die in het jaar 2016 vervallen afgestraft worden.

Een aankondiging die bij vele systeembeheerders een golf van paniek veroorzaakte. Geen enkele website kan het zich immers veroorloven de gebruiker te verontrusten. De gebruiker verwacht gewoon in het volste vertrouwen op een beveiligde  website bijvoorbeeld een online aankoop te kunnen doen. Wordt hij geconfronteerd met deze waarschuwing in de adresbalk van zijn browser, dan is de kans groot dat hij zal afhaken. Toch maakte in september 2014 nog altijd maar 15% van alle websites gebruik van SHA256.

 

Wat moet u concreet doen?

Hebt u een SSL-certificaat aangeschaft via Combell, dan moet u eigenlijk niets doen. Combell heeft immers geanticipeerd op deze evolutie, en verschaft al enkele tijd enkel nog SHA256 certificaten. Oudere certificaten, via Combell aangeschaft, worden gratis in de achtergrond geüpdated. Kortom: zoals gewoonlijk moet de Combell-klant zich helemaal geen zorgen maken. Klantendienst, weet u wel?

Bent u geen klant bij Combell? Dan kunt u op een heel simpele manier nagaan of uw website een SHA1 SSL-certificaat of een hoger 256 certificaat heeft. Gewoon met de Firefox-browser naar het beveiligd gedeelte van de site surfen, herkenbaar aan het voorvoegsel 'https'. Daar klikt u op het symbool met het hangslot, en vervolgens op 'Meer informatie'.

Nu krijgt u in een dialoogvenster een eerste indicatie van het beveiligingsniveau. Bij 'versleutelde verbinding' zou namelijk ergens in de code 256 moeten staan. Klikt u vervolgens op 'certificaat bekijken' in ditzelfde dialoogvenster, dan bemerkt u in het volgende 'certificaatweergave' venster bij 'Algemene naam' de bevestiging of het al dan niet om een SHA 256 SSL-certificaat gaat.

Beschikt u helaas niet over het veiligere SHA 256 SSL-certificaat? Hou deze evolutie dan absoluut in het oog en probeer zoveel mogelijk te anticiperen. Misschien biedt uw hostingbedrijf niet dezelfde service als Combell om u op dit risico te wijzen, laat staan dat het u een gratis update biedt naar een SHA 256 certificaat. Dan zal u wellicht zelf actie moeten ondernemen, en in het ergste geval moeten betalen voor een update van het certificaat.

Houd deze ervaring alvast in uw achterhoofd wanneer u uw hostingcontract met die provider verlengen moet - prijs mag absoluut niet de enige factor zijn bij uw keuze, er zijn zoveel andere aspecten die meespelen. Betrouwbaarheid en expertise, het up-to-date opvolgen van de laatste beveiligingsnormen, en transparante communicatie naar de klanten toe zoals Combell ze u levert zijn onschatbaar!