Vanaf januari volgend jaar zal Google Chrome geen sha-1-certificaten in Chrome meer accepteren, wat gevolgen voor sommige websites kan hebben, zo heeft de internetgigant bekendgemaakt. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt.

Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden.

Sinds 2005 zijn er echter collision-aanvallen op het sha-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Uit vorig jaar gepubliceerd onderzoek blijkt dat het veel goedkoper is om sha-1-certificaten aan te vallen dan voorheen werd aangenomen. Daarom zijn verschillende partijen begonnen met het uitfaseren van sha-1. In het geval van Google zal dit met Chrome 56 gebeuren, die eind januari verschijnt.

Websites die nog steeds met sha-1-certificaten werken zijn vanaf dat moment dan ook niet meer voor Chrome-gebruikers te bezoeken. In het geval van bedrijven die voor interne doeleinden nog steeds van dergelijke certificaten gebruikmaken zal er een optie aan de browser worden toegevoegd zodat ze, na het activeren van de optie, toch nog enige tijd te gebruiken zijn. Volgens Google gaat het om een tijdelijke maatregel om de migratie naar een veiliger sha-algoritme te voltooien. Deze functie zal dan ook vanaf 1 januari 2019 uit de browser worden verwijderd.