Das Hash-Verfahren SHA-1 gilt seit vielen Jahren als veraltet und angreifbar. Jetzt endlich reagieren die großen Browserhersteller und wollen Zertifikate, die mit diesem Algorithmus ausgestellt wurden, nicht mehr akzeptieren. Aber keine Angst: noch bleibt genügend Zeit zum Umstellen! Hier erfahren Sie alle nötigen Details und Deadlines.
Die erste Meldung zu diesem Thema erreichte uns Anfang September. Hier schrieb der Marktführer Google in seinem Sicherheitsblog zum ersten Mal über SHA-1 und den weiteren Plan:
https://security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html
Das Hash-Verfahren gilt deshalb als Risiko, da Angreifer damit thoretisch falsche Serverzertifikate erstellen könnten, die aber von den Browsern als gültig angesehen werden. Aus diesem Grund sollen SHA-1-Zertifikate im Laufe der nächsten zwei bis drei Jahre aus dem Netz verbannt werden.
Ab 2016 mit Warnung im Browser!
Damit sich Seitenbetreiber aber nun nicht ewig Zeit lassen, möchte Chrome künftig seine Nutzer auf Seiten mit diesen „veralteten“ Zertifikaten explizit darauf hinweisen. Es soll ein spezielles Symbol geben, das über das niedrige Sicherheitsniveau informiert.
Kommt ein Zertifikat mit SHA-1 zum Einsatz, das auch nach dem 1. Jänner 2017 Gültigkeit hat, will Chrome die Maßnahmen noch verschärfen und betrachtet den Inhalt als „Mixed Content“ und somit nicht mehr vollständig sicher!
Auch Mozilla bezieht Stellung und verabschiedet sich von SHA-1
Ende September kam dann auch von Mozilla eine entsprechende Meldung in deren Security Blog:
Mozilla rät wie Google davon ab, nach dem 1. Jänner 2016 noch SHA-1-signierte Zertifikate auszustellen. Mozilla möchte weiters in seinem Browser „Firefox“ ab Anfang 2015 in der Web-Konsole Warnungen zu mit SHA-1-Algorithmus gesicherten Websites ausgeben. Ab 2016 sollen die Benutzer dann auf eine unsichere SSL-Verbindung hingewiesen werden.
Was können Sie tun?
Handlungsbedarf besteht, wenn Sie jetzt ein neues Zertifikat bestellen, welches auch noch nach 01.01.2017 gültig ist. Sprich: Sollten Sie jetzt eine Laufzeit von mehr als 2 Jahren wählen, raten wir dringend dazu, bereits ein Zertifikat mit einem aktuellen Algorithmus wie SHA-256 zu verwenden. Bei der Erstellung des Certificate Signing Request (CSR) für das Zertifikat muss dies ebenfalls beachtet werden.
So erstellen Sie dies richtig:
openssl req -new -nodes -keyout dateiname.key -out dateiname.csr -newkey rsa:2048 -sha256
SHA-1 und internex
Gleich vorweg: Wie immer ist internex Up 2 Date: Alle unsere Zertifikate werden bereits mit dem aktuellen Algorithmus SHA-256 erstellt! Natürlich unterstützen wie Sie bei einer Bestellung auch bei der Erstellung des CSR! Sollten Sie Ihren Server oder Webspace von internex beziehen, übernehmen wir die CSR-Erstellung kostenlos für Sie! Hier finden Sie unsere Zertifikate:
https://www.internex.at/de/ssl-zertifikat/
Lehnen Sie sich zurück und genießen Sie das Service und den erstklassigen Support von internex!
