Digi.no har etter at denne saken ble publisert, blitt gjort oppmerksomme på at deaktiveringen av støtten for SHA-1 skal rulles gradvis ut til Firefox-brukerne. Det skal likevel være mulig for brukere å endre innstillingene manuelt, slik at støtten deaktiveres umiddelbart. Detaljene er omtalt her, men i praksis skal det fungere å sette verdien for innstillingen «security.pki.sha1_enforcement_level» til 2.
Fra og med tirsdag 24. januar vil mange Firefox-brukere kunne oppleve at nettsteder som til nå har fungert helt fint i nettlesere, vil bli blokkert. Årsaken er at Firefox, som den første av de de store nettleserne, fra og med i morgen slutter å akseptere sikkerhetssertifikater signert med SHA-1-algoritmen. Dette gjelder altså nettsteder som overføres ved hjelp av protokollen HTTPS.
Endringen innføres med Firefox 51, som etter planen skal utgis den 24. I stedet for at man kommer inn på nettstedet man ønsker å besøke, blir man vist et varsel som forteller at tilkoblingen ikke er sikker. Riktignok er det mulig å omgå dette varselet, men det vises ikke uten grunn.
_logo.svg.png){kind=logo}
Leste du denne? Slik sikrer du nettstedet med HTTPS (Digi Ekstra)
Også andre
Firefox vil ikke være alene om dette særlig lenge. Google skal fjerne støtten for SHA-1 i Chrome med versjon 56 av nettleseren. Den skal utgis den 31. januar.
Deretter går det et par uker før Microsoft ruller ut oppdateringer til Edge og Internet Explorer 11 som skal blokkere lasting av sider beskyttet av SHA-1-sertifikater.
Også Apple anbefaler at SHA-1 fases ut. Allerede skal Safari la være å vise den vanlige hengelåsen i adressefeltet når websider beskyttet av SHA-1-sertifikater blir åpnet. Men det er uklart når Safari kommer til å blokkere slike sider.
Årsaken til at nettleserleverandørene går til dette skrittet, er at SHA-1 ikke lenger anses som sikker. Strengt tatt ble den mer enn 20 år gamle algoritmen ansett som mulig å knekke i 2005. Men den gang ble det sagt at det ville kreve 300 000 datamaskiner og 74 år å utføre knekkingen.
Årene går fort for tiden, og det som ble ansett som en teoretisk mulighet i 2005, ble i 2012 ansett som fullt mulig å utføre for ressurssterke aktører på grunn av kraftigere datamaskiner og muligheten for å leie kapasitet i nettskyen, hvor prisene stadig går nedover.
Millioner av nettsteder berørt
Selv om planene om disse tiltakene har vært offentlig kjent i godt over et år, er det sannsynligvis fortsatt mange nettsteder som benytter sertifikater som er signert med SHA-1, i stedet for med den nye algoritmen SHA-2 (som ofte kalles for SHA-256). Hvor mange det kan være snakk om, virker uklart.
I oktober i fjor meldte Mozilla at bruken av SHA-1 hadde falt fra 3,5 til 0,8 prosent på fem måneder. Men i november publiserte sikkerhetsselskapet Venafi tall fra en undersøkelse de selv hadde gjort som viste at 35 prosent av et utvalg på 11 millioner nettsteder fortsatt benyttet SHA-1-signerte sertifikater. Men bare drøyt 500 av disse ligger på topp 1 millionlisten til Alexa.
Ifølge Kevin Bocek, sikkerhetsstrategisjef hos Venafi, avhenger hele vår nettbaserte verden på tilliten man kan ha til slike sertifikater.
– Virksomhetene har en plikt til å sørge for at dette fikses. Å beholde SHA-1-sertifikater er som å henge opp et velkomstskilt til hackere hvor står «Vi bryr oss ikke om sikkerheten til applikasjonene, dataene og kundene våre», sa Bocek i november.
Les også: «Brotli» er enda en grunn til å levere websidene med HTTPS
Ikke bare websider
Kaspersky Lab skriver i et omfattende blogginnlegg i selskapet Threatpost at SHA-1-problematikken ikke bare gjelder web og nettsteder, men også blant annet mobilapper. Der er det dessuten vanskeligere for brukerne å sjekke om forbindelsen som benyttes, faktisk er sikker.
Det er foreløpig ikke noe forbud fra plattformeierne mot overføring av data i klartekst over nettverk. Apple kunngjorde riktignok planer om å innføre et krav om at HTTPS være tatt i bruk av alle apper innen utgangen av 2016. Men rett før jul ble dette kravet utsatt på ubestemt tid, offisielt for å gi apputviklerne mer tid til å ordne dette.
Men det er uklart om eller når Apple og Google vil kreve at sertifikatene som benyttes til å sikre trafikken og til å signere appene, er signert med SHA-1.
Les også: Mange norske nettbutikker fortjener fortsatt strykkarakter for sikkerheten
