Pembaruan pada Sertifikat SSL: Migrasi dari SHA-1 ke SHA-256

Nawala berita untuk komunitas LastPass:

Upaya yang sedang dilakukan untuk menyediakan keamanan terbaik bagi pengguna LastPass, sertifikat SSL kami untuk LastPass.com akan dialihkan malam ini dari sertifikat SHA-1 menjadi sertifikat SHA-256. Sertifikat kami akan terus menjadi Thawte Extended Validation Certificate (EV).

Mengapa sekarang? Kami memulai proses ini tahun kemarin, namun karena penggunaan yang sedang dilakukan pada versi XP lama, upaya kami tertahan. Sekarang, karena Google dan yang lainnya secara proaktif menggalakkan SHA-256, kami percaya bahwa kami bisa bertransisi dengan dampak minimal pada komunitas kami.

Semua perubahan akan berlangsung di balik layar, sehingga para pengguna LastPass tidak mengalami masalah atau gangguan apa pun pada layanan. Laporan atau keprihatinan? Silakan beritahu kami dalam komentar di bawah ini atau menghubungi tim dukungan kami.

SHA-apa?

Anda bertanya-tanya, tentang apakah kehebohan ini?

Anda mengetahui adanya ikon “gembok” dan HTTPS di awal sebuah URL situs web. Rincian itu menunjukkan bahwa Anda ada dalam sebuah sambungan yang aman pada situs web. Sambungan aman itu dibuat menggunakan sertifikat SSL (meminjam “S” pada HTTPS). Sertifikat SSL, diterbitkan oleh sebuah Certificate Authority/Kewenangan Sertifikat (CA), yang mengenkripsi sambungan Anda dan memverifikasi bahwa Anda telah tersambung ke situs web yang sesungguhnya.

CA meringkas sertifikat dengan menjalankannya melalui algoritma hash satu-arah, kemudian mengkriptografik “tanda-tanda” yang meringkas versi sertifikat tersebut. Sebagian besar situs web yang menggunakan SSL, menggunakan algoritma SHA untuk membuat hash itu, menggunakan SHA-1 yang paling banyak digunakan. Hash-hash satu-arah itu unik pada setiap sertifikat situs web. Ketika peramban Anda mengevaluasi sertifikat situs web, peramban itu menghitung hash SHA-1 itu sendiri, kemudian membandingkannya pada hash bertanda yang ditawarkan situs web sebagai verifikasi. Jika cocok, peramban memberikan tanda berwarna hijau dan Anda mengetahui bahwa informasi Anda aman.

Masalahnya yaitu SHA-1 tidak sekuat dulu. Sekarang karena komputer-komputer lebih cepat dan lebih murah, risikonya adalah meningkatkan penyerang yang bisa memalsukan sertifikat dan memperdaya peramban untuk menganggap bahwa peramban itu tersambung ke situs web yang benar.

Vendor sekarang bertransisi ke algoritma SHA-2 generasi selanjutnya yang lebih kuat untuk meningkatkan keamanan dan perlindungan terhadap serangan. SHA-2 menciptakan hash yang lebih panjang dan saat ini kebal terhadap serangan di mana SHA-1 rentan. Jika Anda menggunakan Chrome, Anda mungkin telah mulai melihat peringatan sertifikat dengan ikon gembok kuning, yang merupakan bagian dari upaya Google untuk menenggelamkan sertifikat SHA-1 dan memindahkan web tersebut ke depan dengan SHA-2.

Akhirnya, transisi tersebut tidak memengaruhi pengalaman Anda sebagai pengguna LastPass, tapi melanjutkan misi kami untuk menyimpan data Anda aman karena web berkembang. Ini adalah LastPass yang sama, dengan keamanan yang sangat lebih baik.

 

Terima kasih atas kunjungannya,

Tim LastPass