Das Hash-Verfahren SHA-1 gilt seit vielen Jahren als veraltet und angreifbar. Jetzt endlich reagieren die gro├čen Browserhersteller und wollen Zertifikate, die mit diesem Algorithmus ausgestellt wurden, nicht mehr akzeptieren. Aber keine Angst: noch bleibt gen├╝gend Zeit zum Umstellen! Hier erfahren Sie alle n├Âtigen Details und Deadlines.

Die erste Meldung zu diesem Thema erreichte uns Anfang September. Hier schrieb der Marktf├╝hrer Google in seinem Sicherheitsblog zum ersten Mal ├╝ber SHA-1 und den weiteren Plan:

http://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html

Das Hash-Verfahren gilt deshalb als Risiko, da Angreifer damit thoretisch falsche Serverzertifikate erstellen k├Ânnten, die aber von den Browsern als g├╝ltig angesehen werden. Aus diesem Grund sollen SHA-1-Zertifikate im Laufe der n├Ąchsten zwei bis drei Jahre aus dem Netz verbannt werden.

sha1_klAb 2016 mit Warnung im Browser!

Damit sich Seitenbetreiber aber nun nicht ewig Zeit lassen, m├Âchte Chrome k├╝nftig seine Nutzer auf Seiten mit diesen „veralteten“ Zertifikaten explizit darauf hinweisen. Es soll ein spezielles Symbol geben, das ├╝ber das niedrige Sicherheitsniveau informiert.

Kommt ein Zertifikat mit SHA-1 zum Einsatz, das auch nach dem 1. J├Ąnner 2017 G├╝ltigkeit hat, will Chrome die Ma├čnahmen noch versch├Ąrfen und betrachtet den Inhalt als „Mixed Content“ und somit nicht mehr vollst├Ąndig sicher!

Auch Mozilla bezieht Stellung und verabschiedet sich von SHA-1

Ende September kam dann auch von Mozilla eine entsprechende Meldung in deren Security Blog:

https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

Mozilla r├Ąt wie Google davon ab, nach dem 1. J├Ąnner 2016 noch SHA-1-signierte Zertifikate auszustellen. Mozilla m├Âchte weiters in seinem Browser „Firefox“ ab Anfang 2015 in der Web-Konsole Warnungen zu mit SHA-1-Algorithmus gesicherten Websites ausgeben. Ab 2016 sollen die Benutzer dann auf eine unsichere SSL-Verbindung hingewiesen werden.

Was k├Ânnen Sie tun?

Handlungsbedarf besteht, wenn Sie jetzt ein neues Zertifikat bestellen, welches auch noch nach 01.01.2017 g├╝ltig ist. Sprich: Sollten Sie jetzt eine Laufzeit von mehr als 2 Jahren w├Ąhlen, raten wir dringend dazu, bereits ein Zertifikat mit einem aktuellen Algorithmus wie SHA-256 zu verwenden. Bei der Erstellung des Certificate Signing Request (CSR) f├╝r das Zertifikat muss dies ebenfalls beachtet werden.
So erstellen Sie dies richtig:
openssl req -new -nodes -keyout dateiname.key -out dateiname.csr -newkey rsa:2048 -sha256

SHA-1 und internex

Gleich vorweg: Wie immer ist internex Up 2 Date: Alle unsere Zertifikate werden bereits mit dem aktuellen Algorithmus SHA-256 erstellt! Nat├╝rlich unterst├╝tzen wie Sie bei einer Bestellung auch bei der Erstellung des CSR! Sollten Sie Ihren Server oder Webspace von internex beziehen, ├╝bernehmen wir die CSR-Erstellung kostenlos f├╝r Sie! Hier finden Sie unsere Zertifikate:
http://www.internex.at/de/ssl-zertifikat/

Lehnen Sie sich zur├╝ck und genie├čen Sie das Service und den erstklassigen Support von internex!

Ver├Âffentlicht am