Facebook gaat apps die SHA-1 gebruiken afsluiten

[Captain Kirk]

Om gebruikers te beschermen gaat Facebook apps en websites die certificaten gebruiken die met het SHA-1-algoritme zijn gesigneerd om verbinding met de sociale netwerksite te maken later dit jaar afsluiten. Hashfuncties zoals SHA-1 worden door de browser gebruikt om een unieke fingerprint van data of een bericht te maken. Deze fingerprint wordt vervolgens digitaal gesigneerd, om zo te kunnen bewijzen dat een bericht onderweg naar de bestemming niet is aangepast.

Er zijn echter kwetsbaarheden in SHA-1 aangetroffen waardoor het mogelijk is om berichten aan te passen zonder dat de fingerprint verandert. Browserontwikkelaars zijn daarom van plan om de ondersteuning van SHA-1 uit te faseren. Recentelijk publiceerde het Certificate Authority en Browser Forum nog nieuwe richtlijnen voor SSL waarin staat dat alle certificaatautoriteiten geen op SHA-1 gebaseerde digitale handtekeningen meer moeten gebruiken, met als deadline 1 januari 2016.

Facebook is van plan om vanaf 1 oktober 2015 geen SHA-1-gebaseerde verbindingen meer te accepteren. Apps en websites die verbinding met Facebook maken moeten dan het veiligere SHA-2 ondersteunen. App-ontwikkelaars krijgen dan ook advies om te controleren of hun app van SHA-1-gebaseerde certificaatverificatie gebruik maakt. Als dit niet wordt aangepast kunnen Facebookgebruikers na 1 oktober namelijk tegen problemen aanlopen.

 

bron: security.nl