Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt organisaties die nog met certificaten werken die over een sleutellengte van 1024-bit of minder beschikken. De komende tijd zal steeds meer software geen certificaten meer accepteren met RSA-sleutels van hoogstens 1024-bits.

Het gaat dan om certificaten die bijvoorbeeld voor het versleutelen van verkeer tussen bezoekers en een website worden gebruikt (HTTPS), voor digitale handtekeningen of voor het opzetten van een VPN. Ook hebben verschillende grote certificaatleveranciers aangekondigd na 1 januari 2014 geen certificaten meer uit te geven die RSA-sleutels van hoogstens 1024-bits gebruiken. Van deze leveranciers zal een deel de eerder door hen uitgegeven certificaten met RSA-sleutels van hoogstens 1024-bits ook intrekken.

Hoewel een RSA-sleutellengte van 2048-bits de afgelopen jaren al de officieuze standaard was en veel certificaten met kortere sleutels al eerder vervangen zijn, stelt het NCSC dat er desondanks toch nog organisaties zullen zijn die van 1024-bits RSA-sleutels gebruik maken.

"Als die niet meer functioneren, kan dat gevolgen hebben voor de bedrijfsvoering van deze organisaties", aldus de organisatie, die deze factsheet over het onderwerp publiceerde. In de factsheet worden stappen beschreven waarmee bedrijven kunnen nagaan of hun certificaten vervangen moeten worden.