Tags voor dit FAQ item:
HTTPS SHA-1 SHA-2 SHA-256

In welke mate heeft dit artikel uw vraag beantwoordt?

Score van 0 sterren, gebaseerd op 1 beoordelingen

SHA1, SHA2 en SHA256 SSL algoritmes

Laatste bijgewerkt: 14/01/2016

SHA is een wiskundig algoritme dat in SSL toegepast wordt om de geldigheid van de ondertekening van een certificaat te controleren. Van SHA bestaan verschillende varianten: SHA-0, dat niet langer gebruikt wordt, SHA-1, dat bij de meerderheid van de SSL certificaten in zwang is, SHA-2, een veiligere opvolger, en SHA-3, geïntroduceerd in 2012.

Het SHA-2 algoritme bestaat in vier versies, SHA-224, SHA-256, SHA-384 en SHA-512. Het SHA-256 algoritme wordt het meeste ondersteund door browsers en certificaatuitgevers, en SHA-2 en SHA-256 worden dan ook dikwijls als onderling inwisselbare termen gebruikt.

De rekenkracht van computers neemt exponentieel toe, en daarmee wordt de kans groter dat een bestand kan gegenereerd worden dat met SHA-1 hetzelfde controleresultaat op als een ander bestand. Dit fenomeen, collision genoemd, zou toelaten om de veiligheid van SSL certificaten te omzeilen en valse certificaten uit te geven. Om die reden hebben Microsoft en Google, gevolgd door de andere browserontwikkelaars, beslist om de geldigheid van met SHA-1 ondertekende certificaten geleidelijk af te bouwen.

Google hanteert het volgende beleid voor zijn Chrome browser:

Met SHA-1 getekende certificaten die na 1 januari 2017 vervallen, in de browser weergegeven als veilig, maar met kleine fouten. Visueel wordt dit aangegeven door het gele gevarendriehoekje in de adresbalk:

Certificaten met een SHA-1 handtekening die vervallen tussen 1 januari 2016 en 31 december 2016 worden weergegeven als veilig, maar met kleine fouten.

SHA-1 Certificaten met een vervaldatum vanaf 1 januari 2017 worden weergegeven als neutraal, zonder beveiliging, net zoals onbeveiligde http:// sites:

SHA-1 SSL certificaten met een vervaldatum voor 1 januari 2017 blijven weergegeven met het gevarendriehoekje.

Certificaten met SHA-1 ondertekend die na 1 januari 2017 vervallen worden als onveilig bestempeld, net zoals sites met een ongeldig of vervallen certificaat:

Certificate Authorities zullen na 31 december 2014 geen SHA-1 certificaten meer uitgeven. Nieuwe certificaten die u aanvraagt na die datum zullen steeds met SHA-256 ondertekend zijn.

Bij de hernieuwing van uw bestaand SSL certificaat dient u er wel op te letten dat u ondertekening met SHA-256 aanvraagt. Om de compatibiliteit met oudere browsers te garanderen, is het immers nog mogelijk om bestaande certificaten in SHA-1 uit te geven. Meer informatie over de compatibiliteit van browsers met SHA-256 vindt u op de SHA-256 compatibiliteitspagina.

Heeft u een certificaat met een langere looptijd, tot 2016 of 2017, dan bestaat de kans dat uw bezoekers waarschuwingen te zien krijgen. In dat geval overweegt u best de heruitgifte van uw certificaat in SHA-256. Als u uw certificaat bij Kinamo bestelde, verzorgen we volledig gratis de heruitgifte.

Bent u geen SSL klant bij Kinamo? Niet getreurd, veel certificaatuitgevers bieden aan om bij overstap van een concurrent de resterende looptijd op uw huidig certificaat aan uw nieuw SSL certificaat toe te voegen, soms zelfs met 30 dagen gratis erbij.