SHA1 en SHA2 bij Argeweb

Wat is het verschil tussen een SHA1 en een SHA2 CSR? Lees het in dit artikel en ontdek de verschillen.

INHOUDSOPGAVE

Wat is SHA1 en SHA2?

SHA1 en SHA2 zijn twee verschillende manieren van het hashen van een bepaald bestand. Dit betekent dat als iets wordt gehashed met een van deze algoritmen, hier een bepaalde code (hash) uitkomt. Deze hash is echter niet meer terug omkeerbaar naar de het originele bestand. Wel is het zo dat wanneer dat bestand nog een keer word gehashed, precies dezelfde hashcode uitkomt. Hiermee is het mogelijk om te controleren of het bestand precies hetzelfde is als de eerste keer dat het gehashed werd. 

Waarom is SHA1 niet meer veilig?

SHA1 is jarenlang de standaard geweest voor het hashen vanSSL certificaten. Het probleem is echter dat de hashcode die gegenereerd wordt, uniek dient te zien voor ieder gehashed bestand. Op het moment dat er maar één byte wijzigt aan het bestand, hoort er een geheel andere hash gerenereerd te worden. Het probleem met SHA1 is echter dat het virtueel is bewezen (nog niet echt gebeurd) dat het mogelijk is om met het hashen van twee verschillende bestanden precies dezelfde hash te bekomen. Theoretisch zou dit betekenen dat hackers hier misbruik van kunnen maken, door een malafide bestand sturen waarvan de hash exact hetzelfde is als het originele bestand dat u verwacht.

SHA2

SHA2 is de opvolger van SHA1 en gebruikt vier verschillende hashingmethoden: SHA224, SHA256, SHA384 en SHA512. Dit betekent dat uiteindelijk de hash die uit het SHA2 algoritme komt langer is dan wanneer het uit een SHA1 algoritme komt, waardoor de kans dat de hash van twee verschillende bestanden gelijk aan elkaar zijn nog kleiner en daarom veiliger is.

Wat heeft dit met SSL certificaten te maken?

Voor ieder SSL certificaat dat aangevraagd wordt, moet een CSR (Certificate Signing Request) worden gegenereerd. Dit kan gedaan worden door middel van een SSH verbinding met een VPS, met een bijbehorend commando; maar ook bijvoorbeeld in Plesk. Een CSR bestaat uit een blok van versleutelde tekst waarop het certificaat zal worden gebaseerd, zoals de domeinnaam, organisatie en de adresgegevens van de aanvrager. Ook een private key wordt gegenereerd met vergelijkbare informatie.

Bij het genereren van een CSR wordt ook de meegegeven hashingmethode gebruikt en die bepaalt uiteindelijk de lengte van het CSR, de private key en het uiteindelijke certificaat. Dit betekent dat een certificaat met SHA1 hashingmethode net als hierboven beschreven wordt, theoretisch gezien kan worden vervangen met een malafide certificaat met dezelfde hashing string. Om deze reden worden SHA1 gesingeerde CSR codes niet meer geaccepteerd bij de aanvraag van een SSL certificaat.

Wat moet ik doen?

Indien u een SSL-certificaat en extra IP-adres bij een webhosting pakket heeft aangevraagd, hoeft u zelf geen actie te ondernemen. U heeft zelf geen CSR gegenereerd, dus u hoeft ook niets te wijzigen. Indien u een SSL-certificaat heeft aangevraagd dat is gekoppeld aan uw VPS, dan is het mogelijk dat u bij de verlenging van uw SSL-certificaat een (nieuw) SHA 2-CSR dient aan te leveren. SSL-aanvragen waarbij gebruik is gemaakt van een SHA1-CSR zullen vanaf heden afgewezen worden. Hoe dit SHA2-CSR kan worden gegenereerd is afhankelijk van het besturingssysteem van uw VPS. 

J
Jeffrey is the author of this solution article.

Was dit antwoord nuttig? Ja Nee

Feedback versturen
Het spijt ons dat we u niet hebben kunnen helpen. Als u feedback geeft, kunnen we het artikel verbeteren.