- Door
- Jeroen Mulder
- geplaatst op
- 11 september 2015 08:00 uur
CloudFlare lanceerde vorige week een bijzondere webpagina. Via het blog kunnen bezoekers diverse nieuwe protocollen testen, waaronder IPv6. Nee, dat is op zich niet bijzonder, maar daarnaast is het blog bereikbaar via http/2 en wordt er gebruikgemaakt van een SSL-certificaat die door middel van SHA-256 is versleuteld.
Het blog op https://blog.cloudflare.com/test-all-the-things-ipv6-http2-sha-2/is als kopie bereikbaar op een andere server die zowel via IPv4 als IPv6 is te benaderen. Die server is bovendien toegankelijk via http/2. CloudFlare benadrukt dat de server niet op het reguliere netwerk van het bedrijf staat en dat de server alleen voor testdoeleinden is bedoeld. CloudFlare stelt ontwikkelaars op deze manier in staat om software te testen tegen het nieuwe protocol.
Tot slot maakt CloudFlare gebruik van SHA-256. Het testen van dit nieuwe certificaat is van belang omdat een aantal browsers bezig zijn om SHA-1 uit te faseren. Google stopt in 2016 met SHA-1 voor Chrome: bezoekers die dan via een https-verbinding op een site terechtkomen met een certificaat dat na 1 januari 2017 verloopt, krijgen de melding dat Chrome de site niet vertrouwt. Andere browserfabrikanten ondernemen soortgelijke acties. Microsoft stopt volgend jaar met de ondersteuning van SHA-1 code signing in Internet Explorer en per 2017 met SSL-certificaten op basis van de oude standaard. Mozilla waarschuwt gebruikers van Firefox als certificaten na 2016 verlopen, net als Google.
Er is overigens discussie over het nut van SHA-2: volgens sommigen is het overbodig en voldoet SHA-1 in https nog uitstekend. Toch zijn initiatieven zoals dat van CloudFlare uitstekend. Het internet groeit en dat betekent dat de standaarden ook mee moeten groeien, zich verder moeten ontwikkelen. Al in 2012 waarschuwden deskundigen dat SHA-1 binnen afzienbare tijd volstrekt niet meer veilig zou zijn.