Vrijwel alle applicaties die gemeenten in gebruik hebben maken gebruik van SSL certificaten met SHA1. Maar nu dit gekraakt is, is het nog maar de vraag of Makelaarsuite en alle gegevens beschermd genoeg zijn.
SHA1 is een type algoritme dat gebruikt wordt om gegevens te versleutelen. Dit is in 1995 door de NSA gepubliceerd. SHA1 was één van de voornaamste versleuteltechnieken op internet, zo ook voor die van SSL certificaten.
Mede naar aanleiding van Wikileaks, een website voor klokkenluiders uit overheidsinstellingen en bedrijven om anoniem misstanden aan de kaak te stellen, zijn er steeds meer beveiligingsissues bekend geworden. Aanbieders als Microsoft (Internet Explorer) en Google (Chrome) hebben in 2015 aangekondigd dit 20 jaar oude algoritme met hun internet browsers niet meer te ondersteunen. Dit kan security technisch grote gevolgen hebben voor vrijwel alle applicaties van jouw gemeente.
Vrijwel alle applicaties die gemeenten in gebruik hebben maken gebruik van SSL certificaten met SHA1
Applicaties als SAP en Makelaarsuite maakten ook gebruik van dit onveilige type certificaat. Dit diende vervangen te worden door een SHA256 certificaat wat wel aan de veiligheidseisen van de deze tijd voldoet. In eerste instantie is door de aanbieders van de internetbrowsers als einddatum 30 juni 2016 aangegeven, later werd dit opgetrokken naar 31 december 2016.
Dat betekende in het geval van onze klanten dat dit een potentieel gevaar vormde voor gemeenten die het onveilige certificaat nog in gebruik hadden.
In december 2015 zijn we gestart met het uitwerken van een plan om de certificaten met SHA1 te vervangen
Door de vervanging vanuit Makelaarsuite als centraal punt op te pakken en vanuit daar te inventariseren welke applicaties een dergelijk certificaat gebruikten, wisten we dat we alle applicaties gedekt hadden. In overleg met meerdere gemeenten hebben we een 3-stappenplan voor de vervanging samengesteld. Eerst een inventarisatie om alle applicaties in kaart te brengen, vervolgens ondersteunden wij gemeenten in de communicatie met leveranciers van derden en als laatst werd er een dag gepland waarop de vervanging van de certificaten werd uitgevoerd. Met het verwijderen van de oude certificaten werd het hele traject snel en succesvol afgerond.
SHA1 gekraakt
Het opgestelde plan was een enorme klus met dit aantal klanten, maar het was wel effectief uitgevoerd. Alle klanten die de vervanging bij ons hebben afgenomen, zijn ruim voor de noodzakelijke datum overgezet naar SHA256. Een aantal weken geleden las ik op Tweakers dat het SHA1 algoritme door een Nederlander is gekraakt. Hiermee wordt aangetoond dat SHA1 in de praktijk niet meer veilig is. Ik kon een glimlach niet onderdrukken.
Als jouw Makelaarsuite of SAP omgeving nog gebruik maakt van een SHA1 certificaat, is het noodzakelijk zo snel mogelijk actie te ondernemen, om jouw systemen beveiligd te houden. Wil je weten hoe? Neem contact met me op.
Kevin Bakx
Sales Binnendienst Informatievoorziening
‘Samen verder!’
Kevin Bakx, Product Owner Hosting & Techniek
