18 november 2016 09:35

1 op 3 websites gebruikt onveilig algoritme

Meer dan een derde van alle websites gebruikt het onveilige SHA-1 algoritme, ondanks waarschuwingen van Google, Mozilla en Microsoft.

SHA-1 wordt nog door te veel websites gebruikt, zegt een onderzoek van Venafi Research. Dat algoritme kan makkelijk gemanipuleerd worden en kan de authenticiteit van een website niet meer garanderen. Toch gebruikt nog 35 procent van het wereldwijde web SHA-1, wat volgens Venafi neerkomt op een totaal van zo’n 61 miljoen websites.

Paspoort

Au fond is SHA-1 een hash-algoritme waaraan je browser kan zien of een website legitiem is of niet. Het geeft met ander woorden een indicatie of de website betrouwbaar is. Omdat SHA-1 verouderd is, is het mogelijk voor hackers om een andere website na te bootsen, en de browser te doen geloven dat het om het origineel gaat.
Ook browserproviders raden het gebruik van SHA-1 af. Google, Mozilla en Microsoft hebben in het verleden laten weten dat hun browsers het algoritme niet meer zouden erkennen. Bij websites met een SHA-1-algoritme worden gebruikers bijvoorbeeld gewaarschuwd dat de website onveilig kan zijn, en wordt het groene hangslot in de adresbalk niet meer getoond. In de plaats daarvan verwijzen ze nar het sterkere

“Welkom-bord”

“Onze hele online wereld is gebaseerd op het systeem van vertrouwen dat onderschreven wordt door deze digitale certificaten voor authenticatie en autorisatie; organisaties hebben een obligatie om er zeker van te maken dat alleen veilige certificaten worden gebruikt,” zei Kevin Bocek, chief securitystrategist bij Venafi. “Het SHA-1-certificaat laten staan is zoals een welkom-bord aan de deur hangen met: ‘We geven niet om de beveiliging van onze applicaties, data en klanten.’”