Dit is de beveiligingsupgrade die 40 miljoen mensen van internet zal houden

Dat groene slot dat u in uw URL-balk ziet, geeft een authentieke en besloten verbinding aan. Dit certificaat zorgt ervoor dat uw informatie binnen de grenzen van de vertrouwde website blijft en dat de website die u bezoekt eigenlijk de website is die het beweert te zijn. Wanneer u zich aanmeldt bij Facebook, met andere woorden, wordt u zowel het volgende beloofd: a) uw informatie - login, communicatie, foto's, enz. - blijft binnen de beveiligde grenzen van de site en b) Facebook is eigenlijk Facebook, niet een bedrieger.

Als iemand een met SHA-1 versleutelde site zou kraken, zouden ze uiterst waardevolle informatie in handen hebben - waardoor de kosten van de initiële inbraak te verwaarlozen zijn. Een individu, een organisatie of een natie zou zich kunnen voordoen als Facebook, bijvoorbeeld, terwijl ze alle uitwisselingen of privé-informatie onderschept die ze zo graag willen onderscheppen. Een andere bedreiging is een phishing-aanval, waarbij een individu, organisatie of natie zich voordoet als een site om gebruikersinformatie te stelen.

Gezien de onzekerheden van SHA-1 zijn de meeste grote sites het erover eens dat de overgang te laat is. Er is echter een nadeel. Internetgebruikers met oude telefoons of desktops hebben geen toegang tot met SHA-2 versleutelde sites. Oude telefoons of computers hebben virtuele plafonds die voorkomen dat hun programma's of apps worden bijgewerkt. En SHA-2 heeft een soort "Je moet dit grote ritje" -maatregel op browsers. Kort gezegd: als uw telefoon of computer niet "lang genoeg" is, lees dan: nieuw genoeg, voldoende bijgewerkt - om "te rijden", zullen SHA-2-gecodeerde sites u afwijzen.

CloudFlare, die het probleem onderzocht en een eigen oplossing heeft geboden, noemde 25 landen met de minste steun - en vond dat deze lijst "overlapt met lijsten van de armste, meest repressieve en meest door oorlog verscheurde landen ter wereld." Veel van de ontwikkelde landen de wereld zal gespaard blijven: in Noord-Amerika en West-Europa zijn meer dan 99 procent van de browsers SHA-2-compatibel. In China daalt het cijfer echter tot ongeveer 93 procent, en in Kameroen, Jemen, Soedan, Egypte, Libië, Ivoorkust, Nepal, Ghana en Nigeria ligt het rond de 95 procent. Het uitsluitingspercentage lijkt laag, maar gezien de context komt het neer op een verbluffend aantal internetgebruikers.

Het eindresultaat is dat de overgrote meerderheid van de gebruikers die worden afgewezen van de SHA-2-rit degenen zijn die de sites het meest nodig kunnen hebben. (Denk aan Facebook en Twitter's impact op de Arabische lente). Daarnaast zullen landen die nog steeds de infrastructuur door verouderde platforms kunnen leiden, kwetsbaar worden voor aanvallen.

Op 31 december 2015 zijn enkele van de grootste sites van internet offline voor bijna 40 miljoen gebruikers. Een verstandige maar stevige nieuwjaarsresolutie om de encryptietechnologie te upgraden, blokkeert ongeveer 5 procent van de online populatie van de ontwikkelingslanden uit beveiligde, gecertificeerde sites zoals Google, Facebook en Twitter.

Als uw telefoon ouder is dan vijf jaar, wordt u ook uitgesloten.

Het is allemaal te wijten aan een overstap naar de encryptietechnologie SHA-2 van zijn voorganger, SHA-1. Het is een beetje verwarrend, maar hier geldt: vóór SHA-1 gebruikten mobiele telefoons coderingstechnologie MD5, die in 2008 onveilig bleek te zijn. Pas in 2013 werd MD5 volledig afgebouwd en werd SHA-1 de regel.

Al snel braken veiligheidsexperts echter SHA-1. En met snellere en snellere computers wordt het steeds goedkoper en goedkoper om SHA-1-sites te kraken: een studie uit 2012 waarschuwde dat terwijl dat jaar een geschatte $ 2,77 miljoen zou kosten om dit te doen, het cijfer in 2015 zou dalen tot $ 700.000. (In 2018 daalde de schatting naar $ 173.000, en in 2021 was het slechts $ 43.000.) Nu 2015 echter - als - Ars Technica rapporten - "onderzoekers geloven dat een dergelijke aanval dit jaar kan worden uitgevoerd voor $ 75.000 tot $ 120.000."

Dit is om twee redenen zorgelijk of opmerkelijk. Ten eerste zijn de sites die het hoogste beveiligingsniveau vereisen de sites die het meeste verkeer genereren, de sites die het populairst zijn. Nogmaals, deze omvatten (maar zijn helemaal niet beperkt tot) Google, Facebook en Twitter en de bijbehorende sites. Ten tweede bevinden de gebruikers van wie de apparaten de balk niet passeren zich vooral in ontwikkelingslanden, vaak landen die worden geteisterd door oorlog en onrecht.

CloudFlare's oplossing, die door Facebook wordt gereproduceerd, is om "SHA-1 fallback" in te schakelen. Gebruikers die anders uit CloudFlare of Facebook-sites zouden worden geblokkeerd, krijgen in plaats daarvan toegang onder SHA-1-beveiligingen. Dit is geen ideale oplossing - de beveiligingsfouten zullen nog steeds bestaan ​​- maar het zal in ieder geval minder uitsluiting zijn.

(We zijn hier al overgeschakeld naar SHA-2 omgekeerde. Als u dit artikel leest, kunt u er zeker van zijn dat u in 2016 toegang krijgt tot uw favoriete sites.)