Utfordrende å fase ut SHA-1 i SSL-sertifikater

Fra 1.januar 2016 er det ikke lenger tillatt å utstede SSL-sertifikater basert på SHA-1.

Enkelte nettlesere (som Mozilla Firefox) forsøker å håndheve dette kravet ved å varsle sine brukere dersom nettstedet de besøker benytter SHA1-basert SSL-sertifikat.

MITM-enheter som benytter selvsignerte rotsertifikater skaper utfordringer for denne håndteringen. I bedriftsnettverk er det ikke uvanlig å terminere den interne TLS-forbindelsen i en slik enhet for å kunne overvåke trafikken ut av bedriften (deretter etablerer man en ny TLS-forbindelse fra MITM-enheten til det endelige nettstedet). De som lager denne type enheter er nok ikke like opptatt av å følge bransjens krav og benytter fortsatt SHA-1 i sine sertifikater. Dette skaper problemer for nettlesere som Firefox. Mozzilla har laget en egen blogg-post som belyser MITM-problematikken.

Det finnes flere godkjente utstedere som har problemer med å håndheve kravet. SHA-1 utfasingen er et tilbakevendende tema for diskusjoner i ulike forum der man følger med og sjekker at sertifikatutstederne følger spillereglene. I Mozilla har man registrert flere tilfeller av slike sertifikater som kan kjedes tilbake til røtter i Mozilas rotsertifikatprogram, se for eksempel https://crt.sh/?id=12089828 og https://crt.sh/?id=12090324.

Bransjen har fokus på utfordringene, og en rekke aktører følger nøye med på utviklingen og avviklingen. Vår holdning er at spillereglene må følges!

Reklamer

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s