Microsoft wil het hashing-algoritme sha-1 vanaf juni 2016 gaan blokkeren. Het verouderde algoritme is in de loop van de tijd kwetsbaar geworden voor steeds eenvoudigere aanvallen. Met de blokkade treedt Microsoft in de voetsporen van Mozilla en Google.
Dit meldt Microsoft op zijn blog. In eerste instantie zou het gebruik van sha-1 vanaf 1 januari 2017
geblokkeerd worden. De reden voor het vervroegen van de deadline is dat de veiligheid van het hashing-algoritme steeds meer in het geding komt. Microsoft refereert daarbij aan de freestart collision-aanval, die in oktober werd uitgevoerd.
Beveiligingsexpert Bruce Schneier had in 2005 al bedenkingen bij het algoritme uit 1995, maar destijds was het doen van een aanval nog niet economisch interessant. Het wordt echter steeds goedkoper om een aanval uit te voeren. Sha-1 wordt onder andere gebruikt voor het ondertekenen van ssl/tls-certificaten. Het vervalsen van een enkel certificaat door collision kan vergaande gevolgen hebben. Hierbij wordt een certificaat aangemaakt met dezelfde hashwaarde als een legitiem certificaat.
In zijn planning geeft Microsoft aan dat certificate authorities vanaf 1 januari 2016 alleen nog maar certificaten mogen uitgeven die zijn ondertekend met het vernieuwde sha-2. Na het verstrijken van de deadline in juni 2016 zal Windows alleen nog certificaten vertrouwen die met sha-2 zijn ondertekend.