Begin 2014 moeten alle systemen migreren van 1024 bits SSL-certificaten naar 2048 bits. Over het algemeen is er een correlatie tussen de lengte van de key en de veiligheid. Deze algoritmes zijn daarom met de jaren steeds langer geworden. Bij een nieuwe keylengte hoort ook een nieuw certificaat, om aan te tonen dat een organisatie de overstap heeft gemaakt naar 2048 bits encryptie. Hieronder beantwoorden wij een aantal vragen die u mogelijk heeft over de migratie.
"Waarom deze overstap?"
De laatste jaren zijn de RSA 576-bit, 640-bit, 704-bit en 768-bit encryptiemethoden gefactored, oftewel gehacked. Het zal dus niet meer lang duren voor de 1024 bit keys ook obsolete worden. In 2010 bracht NIST (National Institute of Standards and Technology) daarom het advies uit dat tegen eind 2013 de certificatenautoriteiten geen ondersteuning meer zullen bieden aan 1024 bits RSA keylengtes. Het CA/B Forum (Certificate Authority/Browser Forum) nam deze aanbeveling over. Daarom moet elk 1024 bits certificaat vervangen worden door een van 2048 bits.
"Wat gebeurt er als ik het niet doe?"
Migreert u niet, dan zijn uw systemen potentieel gevoelig voor aanvallen van buitenaf. Maar dat niet alleen: websites en -diensten die nog een 1024 bits SSL-certificaat gebruiken, zullen vanaf 2014 door browsers worden aangemerkt als onveilig. Een bezoeker zal een waarschuwing krijgen dat uw website geen geldig certificaat heeft.
De laatste datum waarop de certificaten geen 1024 bits keylengte meer dienen te hebben is 1 januari 2014. Echter, certificeringsorganisaties kunnen zelf kiezen wanneer ze hun 1024 bits certificaten laten verlopen. Bij Thawte is dat bijvoorbeeld al 1 oktober. Ook als uw 1024 bits certificaten bij aanschaf tot na 1 januari 2014 geldig zouden zijn, dan zullen ze alsnog op op uiterlijk 1 januari verlopen. Check dus bij uw certificeerder wanneer dat in uw geval is, en schaf indien nodig nieuwe 2048 bits certificaten aan.
"Waar moet ik op letten bij de migratie?"
Het implementeren van een 2048 bits certificaat is eenvoudig te testen: download een test-versie van een 2048 bit certificaat. Lukt het niet deze aan de praat te krijgen, dan bestaat de kans dat uw systemen niet voor deze nieuwe certificaten ingericht zijn. In dat geval vraagt u een beheerder of ict-specialist om mee te kijken.