Het NCSC heeft enkele honderden webservers steekproefsgewijs onderzocht en ziet dat een aantal servers nog met de verouderde certificaten werkt. “De meeste certificaten gebruiken sleutels van 2048 bits, maar een significant deel gebruikt ook sleutels van 1024 bits" aldus het cybercentrum in een factsheet (PDF).

Oude certificaten intrekken

Microsoft blokkeert certificaten met versleuteling kleiner dan 1024 bit, waardoor de communicatie van clients met servers uitvalt. Volgens de softwaregigant zijn dergelijke korte private keys zwaar verouderd en kwetsbaar voor een brute force-aanval. Serververkeer dat met zwakke SSL-certificaten is beveiligd, wordt met de maatregel geblokkeerd.

Het NCSC vaardigt de waarschuwing uit nu de softwaregigant de zwakke sleutels in de ban doet. De update die de oude SSL-versleuteling blokkeert is meegenomen met de Patch Tuesday van augustus. Systeembeheerders die de update toepassen, moeten er dus ook voor gezorgd hebben dat verouderde certificaten zijn verdwenen.

Automatische update later

Het NCSC heeft Microsoft gevraagd de beveiligingsmaatregel pas op 9 oktober via de automatische update uit te rollen. De automatische update die oude certificaten blokkeert, verschijnt die maand. Bedrijven wordt geadviseerde de komende maand server- en clientcertificaten nog eens extra onder de loep te nemen.

Websites, M2M-verkeer en andere toepassingen die nog wel met oude certificaten werken, lopen het risico uit te vallen. “Vervang zo snel mogelijk de desbetreffende certificaten en encryptie door nieuwe certificaten en encryptie met de door NCSC geadviseerde sleutellengtes." Het centrum raadt, net als Microsoft, RSA-sleutels van 2048 bits en een SHA-256 hash aan.

Update 18:51 uur: Het gaat om SSL-versleuteling kleiner dan 1024 bit, niet 1024 bit en kleiner. Tekst aangepast.