2014-10-01

Uppdatering oktober 2014 - Uppgradera SSL med SHA-1-hash

Om man inte använder SSL (dvs. om det står https:// för ditt domännamn) så berörs man inte alls av det här, men om du använder SSL så kontrollera om du behöver uppgradera till ett certifikat med SHA-2-hash.
SSL används för att skapa en säker krypterad kanal för att sända data mellan (oftast) webbläsaren och en webbserver. För att inte vem som helst ska kunna utge sig för att vara en säker server så använder man kryptografisk hash-funktion. En sådan funktion gör att man inte kan se vilket ingångsvärdet, dvs. från ett hashat värde går det inte att få fram vad det var från början. Den mest använda heter SHA-1.

Tyvärr så har det på senare år framkommit att algoritmen bakom SHA-1 inte är så säker. Därför har nu flera stora aktörer gått ut, bl.a. Microsoft och Google, och sagt att de inte längre accepterar SHA-1. Google kommer via Chrome att "straffa" de webbplatser som fortsätter köra SHA-1 genom att sluta markera sidan som säker i adressraden. Det kommer att ske gradvis och först någon gång under nästa år så blir sidorna rödmarkerade i adressraden.
Läs tillkännagivandet av Google.

Hur lång tid har man på sig?
Bäst är så klart att göra det på en gång eftersom det är ett säkerhetshål, men om man bara är ute efter att slippa säkerhetsvarningar i webbläsaren för besökarna av din webbplats så räcker det med att åtgärda det i början av nästa år.
För min egen del så tänker jag åtgärda det snarast för de certifikat jag har. Min certifikatleverantör (RapidSSL) uppgraderar SHA-1-certifikat till SHA-2 utan kostnad. Om de kommer att göra det för all framtid vet man inte så det är lika bra att passa på.

Så vad ska man göra om man kör SSL?
Börja med att kontrollera om ditt certifikat använder SHA-1: https://shaaaaaaaaaaaaa.com
Om din webbplats använder SHA-1 så kontaktar du din leverantör av certifikat och följer de instruktioner de har för att få fram ett nytt certifikat som använder SHA-2 (också även kallat SHA-256).

En lite komisk sak jag upptäckte när jag skrev det här var att microsoft.com och google.com fortfarande använder SHA-1.

System och tjänster som uppdaterats sedan förra uppdateringen: