En million websider benytter stadig svag SHA-1 kryptering

Selvom det efterhånden er alment kendt, at SHA-1 kryptering kan knækkes med kollisionsangreb, der bliver billigere og billigere.

En million hjemmesider har SSL-certifikater, der er signeret med den forholdsvis svage SHA-1 kryptering. Det skriver digi.no.

Analyseselskapet Netcraft har offentliggjort en undersøgelse, hvor det afdækker, at næsten én million SSL-sertifikater er signeret med den sårbare hashalgoritme SHA-1.

Der er altså tale om sider, der ønsker at skilte med sikkerhed i form af den velkendte, grønne hængelås, men som ikke kan garantere en tung nok kryptering.

SHA-1-certifikater udstedes fortsat i store mængder. Ifølge Netcraft er der alene i år blevet udstedt mere end 120.000 SHA-1 certifikater til hjemmesider, og 3900 af disse udløber først i 2017 eller senere. Så den algoritmen er langtfra udslettet.

Allerede nu advarer Google Chrome mod certifikatet, som tilbage i 2005 blev påvist knækbart. Dengang spåede man, at det ville tage 300.000 computere 74 år at knække SHA-1. Men tingene har ændret sig og det seneste skøn foretaget af sikkerhedseksperten Bruce Schneier lyder på mellem 75 og 140.000 USD (500.000-1.000.000 dkkr, red.) og omtrent to måneder.

Det er ifølge Bruce Schneier ikke mere end at et mellemstort forbrydersyndikat ville kunne betale. Selve computerkraften behøver ikke engang blive købt på det mørke net - Amazon EC2 ville gøre det fint.

Vil man teste, om ens hjemmeside er certificeret med SHA-1, kan man besøge shaaaaaaaaaaaaa.com. Skulle det vise sig, at der er tale om en SHA-1 certificering, bør man kraftigt overveje at skaffe sig en SHA-2 certificering i stedet, hvilket ifølge konklone.com ikke burde være det store problem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

Nej desværre. V2 er fløjtende ligeglad med dig, din sikkerhed og dit privatliv. De lader fortsat alle på netværket mellem din PC og deres server være i stand til i klartekst at opsnappe dit login og din adgangskode. V2 vil vedblive med at sikre de bedst mulige rammer for at netværket mellem din PC og deres server kan overvåges. Det har vi klaget over mange gange, men det er de bedøvende ligeglade med. V2 skriver bare om sikkerhed og privatliv - de praktiserer på ingen måde hvad de selv skriver om.

Stefan Milo

Jeg snakkede med Datatilsynet for et par timer siden, hvor jeg stillede dem spørgsmålet "Hvilke retningslinjer er der, når vi snakker kryptering af hjemmesider som indeholder følsomme data?"

Datatilsynet havde ikke noget klart svar. Men at det var op til den enkelte at sikre deres sites "bedst muligt".

Jeg finder det dog sært at firmaer som Tryg, Nykredit, Codan etc. kan køre med åbne sårbarheder, uden at det bliver påpeget af nogen.

https://www.ssllabs.com/ssltest/analyze.html?d=selvbetjening.tryg.dk
https://www.ssllabs.com/ssltest/analyze.html?d=nykredit.dk
https://www.ssllabs.com/ssltest/analyze.html?d=login.rsanordic.com

Oh well. C'est la vie...?

Finn Christensen

Datatilsynet havde ikke noget klart svar. Men at det var op til den enkelte at sikre deres sites "bedst muligt".

En regering kan ikke tage sig af hypotetiske "hvis og hvis" sager.. vælgerhavet flytter sig, og folk på tinge skal konstant løbe efter havet for at sikre sig genvalg.

Som hos Transportministeriet (Trafikstyrelsen ?) og utallige andre tilsvarende nu og i fortiden, så "skal et barn først køres over", med et efterfølgende langvarigt selvsving i medierne, før nogle på tinge eller et parti tager et emne op. Næsten samtlige it-ordfører i nuværende regering forekommer mig ude af stand til opgaven, og nok udelukkende indsat som led i generel pottetræning..

Er vi heldige, så bliver der efter det nævnte mediehysteri udarbejdet standardløsninger.. "alle skal fremover bygge gangbroer over stærkt trafikerede veje". Game over og nævnte "gangbroer" bliver som fra vores nuværende Datatilsyn og Digitaliseringsstyrelsen det mantra, der efterfølgende messes.

Desværre har hovedparten af den politiske flok ikke fanget, at it og netværk udvikler sig med en hastighed således "gangbroer" i it-verdenen allerede er delvis forældet, når de smækkes op. Derfor burde offentlige it-styring samles i en slagkraftig enhed.

Et helt ministerium med både departement samt underliggende styrelser med muskler etc. ville have rigeligt at foretage sig for at følge med. Men folket på tinge ved udmærket, at et sådan ministerium vil blive særdeles magtfuldt, såå...

Den forrige regering fremviste jo med al tydelighed dette, og opdelte straks digitale tjenester-/styrelser samt sikrede ingen af dem herefter have magt som agt. Vores nuværende regering har da heller ikke ændret det mindste, da de jo også sidder i saksen.

Nuværende og næste regering vil desværre hverken afgive lidt magt eller i det mindste undlade at udbygge digitale "usikre by design" løsninger (Digitaliseringsstyrelsen) indtil engang i fremtiden, hvor det er for sent, og et virkelig værdifuldt "barn bliver kørt over".

Anne-Marie Krogsbøll

Det er godt nok en skandale, at den overordnede styrelse, der har ansvaret for at vore data behandles forsvarligt, ikke kan svare bedre end at data skal sikres "bedst muligt"!

Men det er jo i tråd med lignende historier, som den om det vage svar for et par dage siden om, hvad man som borger skal gøre, når man opdager et sikkerhedshul.

Log ind eller Opret konto for at kommentere