.



Onveilige SHA-1 certificaten nog bij één op de drie websites in gebruik

35% van alle websites in de wereld gebruikt onveilige SHA-1 gebaseerde certificaten. Dit ondanks tijdige waarschuwingen dat de browserleveranciers Google, Microsoft en Mozilla websites vanaf 2017 als onveilig gaan markeren als ze dan nog steeds SHA-1 gebaseerde certificaten toepassen.

Dit blijkt uit onderzoek van Venafi Labs. Behalve vertrouwensverlies bij alle bezoekers, lopen organisaties het risico dat online transacties en webverkeer op verschillende manieren worden verstoord:

  • Browsers tonen een onveilig waarschuwing, waardoor mensen uitwijken naar alternatieve sites
  • Browsers laten geen groen slotje zien in de adresbalk voor HTTPS-transacties, waardoor gebruikers gaan twijfelen over de informatiebeveiliging en hun privacy
  • Websites kunnen performanceproblemen of zelfs volledige toegangsblokkades ondervinden

Websites die SHA-1 gebaseerde certificaten blijven gebruiken moeten rekening houden met minder omzet uit online transacties en een toename van de helpdeskverzoeken, waarschuwt Venafi.

Digitale certificaten

Digitale certificaten vormen de sleutels voor encryptie van al het netwerkverkeer tussen websites en hun bezoekers. Encryptie is noodzakelijk voor veilige privécommunicatie en transacties. Digitale certificaten verifiëren tevens of mensen de juiste website bezoeken en geen nagemaakte versie. Alle browsers gebruiken certificaten om te bepalen wat wel en niet te vertrouwen is tijdens online transacties, wat vooral van belang is bij online bankieren en e-commerce.

Het voor veel certificaten gebruikte SHA-1 encryptiealgoritme is zwak en makkelijk te manipuleren. Daardoor misbruiken cybercriminelen het voor ‘man-in-the-middle’ aanvallen op TLS-verbindingen. Dit probleem is opgelost in SHA-2. Het Venafi-onderzoek toont echter aan dat veel organisaties hun SHA-1 certificaten nog steeds niet hebben aangepast. Daardoor lopen ze het risico op een inbraak, problemen met de beschikbaarheid en betrouwbaarheid van hun website en compliance issues.

61 miljoen onveilige websites

“Uit ons onderzoek blijkt dat de meeste populaire websites hun SHA-1 certificaten al gemigreerd hebben, maar een substantieel deel van het Internet er nog steeds op gebaseerd is”, zegt Walter Goulet, cloud solutions productmanager bij Venafi. “Volgens Netcraft’s september 2016 Web Server Survey zijn er in de wereld circa 173 miljoen actieve websites. Als wij onze resultaten extrapoleren gebruiken er waarschijnlijk zo’n 61 miljoen daarvan nog steeds SHA-1 certificaten.”

Kevin Bocek

“Onze online wereld is gefundeerd op een vertrouwenssysteem gebaseerd op certificaten”, zegt Kevin Bocek, Venafi Vice President Threath Intelligence & Security Strategy. “Daarom hebben organisaties de verplichting zo’n gat te dichten. SHA-1 certificaten blijven gebruiken is vergelijkbaar met een welkomstbord op je website plaatsen met de tekst: wij nemen het niet zo nauw met de beveiliging van onze applicaties, data en klanten.”

Migratie naar SHA-2 is complex

“Grote organisaties gebruiken gemiddeld ruim 23.000 sleutels en certificaten, zonder dat zij over een oplossing beschikken die inzichtelijk maakt welke nog op het SHA-1 algoritme zijn gebaseerd”, aldus Bocek. “Dat maakt de migratie naar SHA-2 complex, met als resultaat dat veel bedrijven hun kop in het zand hebben gestoken. Vanaf januari lukt dat echter niet meer. Daarom adviseer ik ze direct in actie te komen, want na de deadline wordt het alleen maar complexer en chaotischer.”

Lees ook
Encryptie is bezig aan een stevige opmars

Encryptie is bezig aan een stevige opmars

Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack van 2G-simkaarten b1

EFF: ’Zet techbedrijven onder druk zich tegen massacontrole te verzetten’

EFF: ’Zet techbedrijven onder druk zich tegen massacontrole te verzetten’

Technologiebedrijven zouden onder druk moeten worden gezet zich actief te verzetten tegen NSA-controle. Ook zou een internationale beweging moeten worden opgezet om het toepassen van encryptie door consumenten te stimuleren. Het gebruik van beveiligde communicatiemiddelen moet worden aangemoedigd. Dit staat in het plan dat de Amerikaanse burgerrec1

Kim Dotcom’s Mega lanceert chatdienst met end-to-end-encryptie

Kim Dotcom’s Mega lanceert chatdienst met end-to-end-encryptie

Mega, het bedrijf van MegaUpload-oprichter Kim Dotcom, lanceert de beveiligde chatdienst MegaChat. MegaChat is voorzien van end-to-end-encryptie, wat moet voorkomen dat gebruikers afgeluisterd kunnen worden. MegaChat is op dit moment als beta-versie beschikbaar. De dienst kan op dit moment alleen gebruikt worden via een webbrowser. Wie de dienst w1