Das Ende naht: Viele Browser entziehen SHA-1 SSL-Zertifikaten in Kürze ihr Vertrauen

von: Sven Berger | 30. November 2016

Der Secure Hash Algorithm SHA-1, der dafür sorgt, die Integrität von SSL-Zertifikaten sicherzustellen, war einst eines der am weitesten verbreiteten SSL-Zertifikate. Er ist allerdings schon seit längerem veraltet und gilt als Ursache für mehrere prominente Websiten-Hacks, so dass seine Tage nun wohl tatsächlich gezählt sind. Apple, Microsoft, Google und Mozilla haben nähere Informationen dazu bekannt gegeben, wann ihre Browser Webseiten mit SHA-1 SSL-Zertifikaten nicht mehr als vertrauenswürdig einstufen. In vielen dieser Fälle sollte allerdings beachtet werden, dass manuell installierte oder selbst signierte Zertifikate weiterhin unterstützt werden

Google Chrome: Mit der neuen Version 56 wird Chrome SHA-1 SSL-Zertifikate ab Januar 2017 nicht mehr vertrauen und informiert die Anwender durch eine Sicherheitswarnung.
Mozilla Firefox: Auch mit der neuen Version Firefox 51 im Januar 2017 zeigt der Browser bei jeder Seite, die immer noch SHA-1 verwendet, an: „Keine vertrauenswürdige Verbindung“.
Apple Safari: Es liegt noch kein genaues Datum vor, wann Apple offiziell SHA-1-Zertifikaten nicht mehr vertraut. Die letzten Versionshinweise für MacOS empfehlen dringend, Webseiten mit SHA-1 so schnell wie möglich zu meiden. Die Sierra-Version des Browsers zeigt mittlerweile nicht mehr das grüne Vorhängeschloss, das auf eine vertrauenswürdige Webseite hinweist.
Microsoft Internet Explorer and Edge: Webseiten, die zum Start des neuen Browser am 14. Februar 2017 immer noch SHA-1 verwenden, werden einfach nicht mehr geladen. Anwender können aber nach einer Warnung entscheiden, ob sie die Webseite aufrufen wollen

Es hat lange gedauert, bis es zu der Ablehnung von SHA-1 kam. Fast alle Webseiten vertrauen seit langer Zeit auf SHA-1-Zertifikaten für ihre SSL-Verschlüsselung. Weil sie allerdings so weit verbreitet sind, können sie auch leicht gehackt werden und sind so ein beliebtes Ziel von Passwort-Hackern. Webseiten, die Passwörter der Anwender mit SHA-1 ausgeben, machen es Hackern besonders einfach: Wie kürzlich bei Naked Security berichtet, kann ein Password Cracking Server jede mögliche Passwort-Variante mit SHA-1 innerhalb einer Stunde ermitteln. SHA-1 stand in Verbindung mit vielen Sicherheitsvorfällen in der Vergangenheit, wie zum Beispiel bei LinkedIn oder LivingSocial.

Die Forderung, SHA-1 nicht mehr zu verwenden, geht bereits auf das Jahr 2005 zurück. 2012 hat das National Institute of Standards and Technology (NIST) seine Sicherheitsrichtlinien Special Publication 800-57 aktualisiert und empfahl die Aufhebung von SHA-1 als Standard. Doch erst als Google 2014 mitteilte, Webseiten aktiv zu ahnden, die SHA-1 nach 2016 verwenden, bewegte sich etwas – auch bei den Leuten, bei denen die Botschaft bis dahin noch nicht durchgedrungen war.

Heute nehmen die meisten Webseiten die Warnungen ernst. Mozilla schätzt, dass nur noch weniger als ein Prozent aller Webseiten SHA-1 SSL nutzen, andere Zahlen sehen das bedeutend unentspannter und gehen von einem Drittel aller Webseiten aus. Wie auch immer, die Tage von SHA-1 sind gezählt und Betreiber sollten aktiv werden.

Quelle: Sophos von Jörg Schindler

Autor: Sven Berger

20+ Jahre IT-Sicherheits-Experte, Prokurist, Leitung des Bereichs IT-Sicherheit der ito consult GmbH/ UTMshop
Zertifizierungen: Dipl. Betriebswirt; Sophos Certified Architect

Zugehörige Produkte

Wildcard Zertifikat - Service Paket (Domainvalidiert)

-> zur Absicherung mehrerer Dienste oder Webseiten mit HTTPS z.B. für Mail Server (Microsoft Exchange) mit den Diensten https://owa.ihreDomain.de, https://autodiscover.ihreDomain.de, https://mail.ihreDomain.de Sie möchten ein grünes Siegel für ihre Webseite? Wir haben die Lösung. Bei uns bekommen Sie Sicherheit aus einer Hand. Inhalt: Öffentlich signiertes Wildcard-Zertifikat für Ihre Domain *.ihredomain.de, ausgestellt für Ihre Dienste/Webserver 4096 bit Schlüssellänge SHA-2 RSA Unterstützung DSA Unterstützung Unterstützung für mobile Endgeräte Laufzeit: 3 Jahre Schnelle Lieferung Inkl. Basispaket* Kostenloser Austausch (bis 4 Wochen nach Lieferung) Leistungen des Basispakets: Das beschriebene Basispaket umfasst die Beratung zur Ermittlung der Zertifikatsart, die eigentliche Zertifikatsanforderung, die Signierung der Zertifizierungsstelle, die Zertifikatserstellung & Übermittlung. Dafür sind ca. 4 Stunden Bearbeitungszeit eingeplant, die in den meisten Fällen ausreichend sind. Sollte wider Erwarten mehr Aufwand notwendig sein, wird dieser mit 130,- Euro/ Stunde (Taktung 20 Minuten) in Rechnung gestellt. Sollten Sie auch Hilfe bei der Einbindung des Zertifikats auf Ihrem Webserver oder Ihrer Firewall benötigen, können wir Ihnen gerne behilflich sein. Die Kosten liegen im vorab genannten Rahmen. Voraussetzungen: der zu zertifizierende Domainname ist bei einem Anbieter registriert, der bei einer der folgenden Organisationen gelistet ist: ICANN gTLDs für nicht länderbezogene Top Level Domains https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains#ICANN-era_generic_top-level_domains z.B. .com, .net, .org, .biz IANA ccTLDs für länderbezogene Domains http://www.iana.org/domains/root/db z.B. .de, .uk, .au, .cn es existiert eine funktionierende E-Mail-Adresse die im WHOIS der zu zertifizierenden Domain eingetragen oder innerhalb der zu zertifizierenden Domain liegt und wie folgt beginnt: admin@ administrator@ hostmaster@ postmaster@ ebmaster@ als alternative Methode zur Domainverifizierung steht folgendes zur Verfügung (nicht bei allen Zertifikatstypen möglich!) Hash Validierung

698,00 €*

Details

Webserver Zertifikat - Service Paket (Domainvalidiert)

-> Absicherung einer einzelnen Webseite mit HTTPS Geeignet für Veröffentlichung einer einzelnen Webseite/Dienst z.B. https://www.ihrShop.de oder https://ihreCloud.deSie möchten ein grünes Siegel für ihre Webseite? Wir haben die Lösung. Bei uns bekommen Sie Sicherheit aus einer Hand. Inhalt: Öffentlich signiertes Einzelzertifikat für Ihre Domain www.ihredomain.de, ausgestellt für Ihren Webserver: 4096 bit Schlüssellänge SHA-2 RSA Unterstützung DSA Unterstützung Unterstützung für Mobile Endgeräte Bei Ausstellung für www.ihreDomain.de gibt es ihredomain.de gratis Laufzeit von 2 Jahren Schnelle Lieferung Inkl. Basispaket* Kostenloser Austausch (bis 4 Wochen nach Lieferung) Leistungen des Basispakets: Das beschriebene Basispaket umfasst die Beratung zur Ermittlung der Zertifikatsart, die eigentliche Zertifikatsanforderung, die Signierung der Zertifizierungsstelle, die Zertifikatserstellung & Übermittlung. Dafür sind ca. 4 Stunden Bearbeitungszeit eingeplant, die in den meisten Fällen ausreichend sind. Sollte wider Erwarten mehr Aufwand notwendig sein, wird dieser mit 130,- Euro/ Stunde (Taktung 20 Minuten) in Rechnung gestellt. Sollten Sie auch Hilfe bei der Einbindung des Zertifikats auf Ihrem Webserver oder Ihrer Firewall benötigen, können wir Ihnen gerne behilflich sein. Die Kosten liegen im vorab genannten Rahmen. Voraussetzungen: der zu zertifizierende Domainname ist bei einem Anbieter registriert, der bei einer der folgenden Organisationen gelistet ist: ICANN gTLDs für nicht länderbezogene Top Level Domains https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains#ICANN-era_generic_top-level_domains z.B. .com, .net, .org, .biz IANA ccTLDs für länderbezogene Domains http://www.iana.org/domains/root/db z.B. .de, .uk, .au, .cn es existiert eine funktionierende E-Mail-Adresse die im WHOIS der zu zertifizierenden Domain eingetragen oder innerhalb der zu zertifizierenden Domain liegt und wie folgt beginnt: admin@ administrator@ hostmaster@ postmaster@ webmaster@ als alternative Methode zur Domainverifizierung steht folgendes zur Verfügung (nicht bei allen Zertifikatstypen möglich!) Hash Validierung

368,69 €*

Details