Google kondigt aan de vereiste overstap naar 2048-bit rootcertificaten nog voor het einde van het jaar te maken en meteen het https-verkeer naar een hoger beveiligingsplan te trekken. Het bedrijf verwacht dat de meeste ontwikkelaars van clients geen problemen zullen ondervinden, maar denkt dat er voor een enkeling configuratie vereist is.

Ook rootcertificaten naar 2048-bit

De vorig jaar vastgelegde SSL-standaard van de in de CA/Browser Forum verzamelde certificatenautoriteiten vereist (PDF) dat vanaf 1 januari 2014 rootcertificaten die worden uitgegeven minstens 2048-bit zijn. Veel bedrijven passen zich daar nu op aan. De rootcertificaten van Google worden daarom nu ook 2048-bit.

De overstap begint vanaf 1 augustus, meldt Google-beveiligingschef Stephen McHenry in de aankondigende blogpost “om er zeker van te zijn dat er voldoende tijd is voor een voorzichtige uitrol voor het einde van het jaar.” In een FAQ legt Google uit wat clients eventueel moeten configureren om beveiligde verbindingen te blijven leggen.

Toekomstbestendig https-verkeer

De 1024-bit ssl-standaard is momenteel veilig, maar er zijn zorgen dat deze standaard nog dit decennium gekraakt gaan worden (PDF) met de komst van meer rekenkracht en efficiëntere formules. Een langere sleutel verhoogt de moeilijkheidsgraad.

Er bestaan theoretische aanvallen op ssl-implementaties, maar het protocol zelf wordt al veilig beschouwd. Een groter probleem is dat instanties worden gehackt om ssl- certificaten te bemachtigen waardoor een server onterecht vertrouwd wordt door clients. Standaardenorganisatie NIST meent dat het geen kwaad kan om ondanks dat het huidige systeem veilig wordt bevonden alvast over te stappen op langere sleutels ( PDF).