Jak využít SHA-2 v SSL certifikátu
9. 2. 2014 | Jindřich Zechmeister
Odborníci a NIST varují před nedostatečnou bezpečností hash algoritmu SHA-1 a nedoporučují ho již používat. Pokud chcete zvýšit důvěryhodnost svého SSL certifikátu, můžete novější SHA-2 využít také a tento článek vám prozradí jak na to.
Co je to hash?
Otisk dat, neboli haš (anglicky hash), se používá pro kontrolu úplnosti a neporušenosti dat. Krom běžného použití, například pro ověření dat stažených z internetu, se haše používají i v kryptografii a SSL certifikátech. Jsou součástí elektronického podpisu.
Jak takové ověření funguje? Pro určitá data se vytvoří otisk, což je různě velké číslo v závislosti na použitém algoritmu. Ten by měl zajistit, že toto číslo je unikátní a nelze ho dosáhnout při vytvoření otisku jiných dat. Pokud se jakkoliv změní data na vstupu, výrazně se změní i haš na výstupu.
Algoritmus SHA-1 bude nahrazen novějším
SHA-1 je algoritmus vytvořený v roce 1995 a v současnosti je to nejrozšířenější hash algoritmus v SSL certifikátech. Používá ho 98 % současných certifikátů. V certifikátu je obsažen jak otisk samotného certifikátu, tak i otisk podpisu certifikační autority. Vzhledem k jeho stáří však nastal čas na nahrazení algoritmem delším, a bezpečnějším.
Algoritmus je považován jako bezpečný, pokud není možné vytvořit stejný otisk s různými daty; pokud však ano, jev se nazývá kolize. Vzhledem k výhradám, které bezpečností odborníci mají k současně používanému hašovacímu algoritmu SHA-1, bude tento algoritmus brzy plně nahrazen silnějším SHA-2. NIST doporučil přestat používat SHA-1 po roce 2013 a Microsoft plánuje ukončení jeho podpory ve Windows v roce 2017. Na ukončení podpory SHA-1 ve Windows nemusíte čekat a můžete vyslyšet názor odborníků už dnes.
Jak využít SHA-2 na SSLmarketu?
Při objednání SSL certifikátu na SSLmarketu můžete vložit CSR request (veřejný klíč), ve kterém je SHA-2 použit. Můžete také jednoduše zajistit použití SHA-2 hashe při podepisování certifikátu autoritou. Stačí v objednávce při vkládání CSR zvolit místo SHA-1 modernější SHA-2, a autorita bude vědět, že má při podepisování certifikátu použít silnější algoritmus.
SHA-2 hash se používá ve čtyřech různých bitových délkách: SHA224, SHA256, SHA384 a SHA512; všechny se označují jako SHA-2.
Stávající certifikáty vystavené s SHA-1 můžete nechat zdarma přegenerovat a využít silnější SHA-2. Stačí kontaktovat zákaznickou podporu SSLmarketu, která pro vás zajistí nové a bezplatné vystavení certifikátu.
Jsou nějaké rizika či nevýhody?
Jediným možným rizikem použití SHA-2 algoritmu v certifikátu je nepodpora tohoto algoritmu v systému Windows XP 1 a 2. Algoritmus byl do systému přidán v třetím service packu a neaktualizované systémy ho nepodporují.
Podpora systému Windows XP však letos na jaře po neuvěřitelných 13 letech končí a nemusíte již brát ohled na uživatele tohoto systému. I ve formách budou IT oddělení nuceni upgradovat na novější systém.
Nyní nastal správný čas přejít v SSL certifikátech na bezpečnější SHA-2 hešovací algoritmus.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz