Opdatering til SSL Certifikatet: Migrerer fra SHA-1 to SHA-256

Nyhed til LastPass følgere

I vores konstante forsøg på at give LastPass brugere størst mulig sikkerhed, vil vores SSL certifikat for LastPass.com blive overflyttet i nat fra et SHA-1 certifikat til et SHA-256 certifikat. Vores vil fortsat være et Thawte Extended Validation Certificate (EV).

Hvorfor nu? Vi begyndte processen sidste år, men grundet det fortsatte brug af ældre versioner af XP gik vores arbejde i stå. Nu hvor Google og andre proaktivt pusher SHA-256, er vi sikre i overflytningen med minimale omkostninger for vores følgere.

Alle ændringerne vil ske bag facaden, så LastPass brugere skulle ikke møde nogle problemer eller forstyrrelser i vores services. Rapporteringer eller bekymringer? Venligst lad os vide i kommentarerne nedenfor eller kontakt vores support team.

SHA-hvad?

Undrer du dig over, hvad det hele handler om?

Du ved at du skal kigge efter “lås” ikonet og HTTPS i begyndelsen af en website’s URL. Disse detaljer indikerer, at du er på en sikker forbindelse til en hjemmeside. Denne sikre forbindelse er oprettet med et SSL certifikat (S’et i HTTPS). SSL certifikatet, udbudt af Certificate Authority (CA), krypterer din forbindelse og bekræfter at du er forbundet til den rigtige hjemmeside.

CA kondenserer certifikatet ved at køre det gennem en en-vejs hashing algoritme, og derefter “underskrive” den kondenserede version af certifikatet kryptografisk. De fleste websites, som bruger SSL bruger SHA algoritmen for at danne dette hash, og SHA-1 er den oftest brugte. En-vejs hashesne er unikke for hvert enkelt website certifikat. Når din browser evaluerer hjemmesidens certifikat, beregner den selv SHA-1 hashet, og sammenligner det derefter med det underskrevne hash som hjemmesiden udbyder som verificering. Hvis de matcher, giver browseren grønt lys og du ved, at informationen er sikker.

Problemet er, at SHA-1 ikke er så stærkt som det har været. Nu hvor computere er hurtigere og billigere, forøges risikoen for at angriberen kunne få fat i certifikatet og snyde browseren til at tro, at den forbinder til den rigtige hjemmeside.

Udbydere skifter nu til den næste generation af den stærkere algoritme SHA-2 for at forøge sikkerheden og beskytte mod angreb. SHA-2 skaber længere hashes og er på nuværende tidspunk resistent for de angreb, som SHA-1 er følsomme overfor. Hvis du bruger Chrome, er du måske begyndt at se certifikat advarsler med gule lås ikoner, hvilket er en del af Google’s indsats for at lægge SHA-1 bag sig og skifte til SHA-2.

Når det kommer til stykket, betyder skiftet intet for din LastPass oplevelse som bruger, men fremmer vores mission for at holde dine data sikre i takt med at internettet udvikles. Det er det samme LastPass, med endnu bedre sikkerhed.

 

Tak for at du læser med,

The LastPass Team