>> Welche Sicherheitsmängel hat SHA-1?
>> Wann traten Browseränderungen bezüglich SHA-1-Zertifikate in Kraft?
>> Wie erfüllt DigiCert die Bedingung zur Umstellung auf SHA-2-Zertifikate?
>> Was ist zu tun, wenn ein Problem bei einem SHA-2-Zertifikat auftritt?
>> Werden Nutzer Probleme bekommen, wenn ich meine Website mit einem SHA-2-TLS/SSL-Zertifikat absichere?
Welche Sicherheitsmängel hat SHA-1?
Kein Hash-Algorithmus ist komplett kollisionsresistent. Wie resistent er ist, zeigt sich daran, wie schwer ein Hash-Clash zu finden ist. Zu einer solchen Kollision kommt es, wenn ein Hacker zwei Datensätze findet, deren Hash-Wert aus der verwendeten Hash-Funktion identisch ist. Bei einem erfolgreichen Kollisionsangriff kann der Angreifer beispielsweise ein nicht konformes Zertifikat im Namen einer Zertifizierungsstelle erstellen. Webbrowser vertrauen diesem Zertifikat und so kann es zur Fälschung von Websites verwendet werden, die durch HTTPS geschützt sind.
Je fortschrittlicher die Technologie, desto geringer die Kollisionsresistenz einer Hash-Funktion. Irgendwann ist dann der Punkt erreicht, an dem eine stärkere Hash-Funktion erforderlich wird. 2005 fand ein chinesisches Forscherteam eine Schwachstelle in einer der Eigenschaften von SHA-1, die dessen Kollisionsresistenz herabsetzte. Seitdem haben Forscher und Kryptologen festgestellt, dass es aufgrund der Weiterentwicklung von Angriffstechniken nur noch wenige Jahre dauern wird, bis die für einen erfolgreichen Kollisionsangriff benötigte Rechenleistung erschwinglich und ein Angriff damit praktikabel ist.
Wann traten Browseränderungen bezüglich SHA-1-Zertifikate in Kraft?
Microsoft, Google und Mozilla kündigten an, im Zuge ihrer Umstellung auf SHA-2 keine SHA-1-Zertifikate mehr zu akzeptieren.
Änderungen an SHA-1-TLS/SSL-Zertifikaten:
2016 begannen Microsoft, Google und Mozilla mit der Abkündigung von SHA-1-Zertifikaten. Hier die Schritte im Detail:
- November 2014 – SHA-1-TLS/SSL-Zertifikate mit Ablaufdatum im Jahr 2017 erzeugen in Chrome eine Warnung.
- Dezember 2014 – SHA-1-TLS/SSL-Zertifikate mit Ablaufdatum nach dem 1. Juni 2016 erzeugen in Chrome eine Warnung.
- Januar 2015 – SHA-1-TLS/SSL-Zertifikate mit Ablaufdatum im Jahr 2016 erzeugen in Chrome eine Warnung.
- Dezember 2015 – SHA-1-TLS/SSL-Zertifikate mit Ausstellungsdatum nach dem 1. Januar 2016 erzeugen in Firefox den Fehler „Verbindung nicht sicher“.
- Januar 2016 – SHA-1-TLS/SSL-Zertifikate mit Ausstellungsdatum nach dem 1. Januar 2016 erzeugen in Chrome einen Zertifikatsfehler.
Zertifikatskriterien: signiert auf SHA-1-Basis, ausgestellt nach 1. Januar 2016 und verknüpft mit einer öffentlichen Zertifizierungsstelle - 1. Januar 2017 – Microsoft, Google und Mozilla vertrauen keinem SHA-1-TLS/SSL-Zertifikat mehr.
Mozilla und Google geben an, den Stichtag angesichts aktueller Angriffe auf SHA-1 auf den 1. Juli 2016 vorziehen zu können.
Microsoft gibt an, den Stichtag angesichts aktueller Angriffe auf SHA-1 auf Juni 2016 vorziehen zu können.
Wie erfüllt DigiCert die Bedingung zur Umstellung auf SHA-2-Zertifikate?
DigiCert sucht ständig neue Wege für seine Kunden, SSL so effektiv und effizient wie möglich einzusetzen. Nach der Ankündigung von Microsoft stellte DigiCert keine SHA-1-Zertifikate mit Ablaufdatum nach 2017 mehr aus. Stattdessen wurden Zertifikate standardmäßig mit SHA-2 ausgestellt. DigiCert empfiehlt nachdrücklich, sofern noch nicht geschehen, schnellstens auf SHA-2 umzustellen, wo immer dies möglich ist, und sich darauf vorzubereiten, komplett auf SHA-2 umzusteigen.
Was ist zu tun, wenn ein Problem bei einem SHA-2-Zertifikat auftritt?
Sehen Sie bei Ihrem Browser- oder Betriebssystemhersteller nach, ob es Updates für die SHA-2-Unterstützung gibt.
Werden Nutzer Probleme bekommen, wenn ich meine Website mit einem SHA-2-TLS/SSL-Zertifikat absichere?
Alle modernen Browser unterstützten SHA-2-Zertifikate. Ältere Browserversionen sind immer der Gefahr zahlreicher Sicherheitsprobleme ausgesetzt; mangelnde SHA-2-Kompatibilität ist nur eine davon. DigiCert empfiehlt Administratoren, ältere und weniger sichere Systeme auf den neuesten Stand zu bringen.
