Ende für SHA-1 Zertifikate

Wer im Internet unterwegs ist, begegnet in letzter Zeit immer öfter Webseiten deren URLs mit https:// beginnen. HTTPS steht für Hypertext Transfer Protocol Secure (dt. etwa „sicheres Hypertext-Übertragungsprotokoll), und soll sicher stellen, dass die Kommunikation zwischen Browser und Server nicht für jeden lesbar sind. Es handelt sich daher um eine Transportverschlüsselung. Das heißt, der Verkehr zwischen zwei Endpunkten wird durch unterschiedliche kryptografische Verfahren verschlüsselt, und kann nur mehr mit hohem Aufwand durch Dritte ausgelesen werden.

Damit jedoch der Kommunikationspartner sicher gehen kann, dass er mit einem vertrauenswürdigen Gegenüber kommuniziert, findet eine Identifikation und Authentifizierung der Partner statt.

Dies geschieht mittels so genannter Zertifikate, die die zur Prüfung notwendigen Daten beinhalten. Die Ausstellung dieser Zertifikate erfolgt durch eine offizielle Zertifizierungsstelle (Certification Authority, kurz CA) , denen beide Kommunikationspartner vertrauen müssen.

Diese Zertifikate werden von der ausstellenden Zertifizierungsstelle mit Hilfe einer kryptologischen Hashfunktion digital signiert. Die am weitesten verbreitete Hashfunktion in diesem Bereich ist der Secure Hash Algorithm (SHA) mit den Varianten SHA-1 und SHA-2/SHA-256.

Ist die Hashfunktion unsicher, können Unbefugte gültige Zertifikate ausstellen um sich als der gewünschte Kommunikationspartner auszugeben.

Der SHA-1 Algorithmus wurde bereits vor mittlerweile 12 Jahren geknackt, was zur Folge hatte, dass man nun von der Verwendung von SHA-1 für die Signierung von Digitalen Zertifikaten abrät, da es durch die kontinuierliche Erhöhung der Rechenleistung immer leichter wird, Zertifikate zu fälschen.

Durch diese Entwicklungen gehen nun die Browserhersteller dazu über, mit SHA-1 signierte Zertifikate als unsicher einzustufen und in weiterer Folge die Verbindung zu solchen Websites ganz zu blockieren.

Der 1. Jänner 2017 gilt als Stichtag für die „Eliminierung“ von SHA-1 aus dem Web.

Allerdings wird der Umstieg nicht abrupt zu diesem Termin erfolgen, sondern mit Browser-Updates in den Wochen und Monaten danach ausgerollt, erklären die Browser-Hersteller einheitlich. Die genaue Timeline ist noch etwas im Fluss, allgemein ist jedoch von Mitte bis Ende Januar beziehungsweise bei Microsoft sogar Februar die Rede. Chrome und Firefox wollen nach derzeitigem Stand ab den Versionen 56 bzw. 51 die SHA-1 Unterstützung einstellen. Außerdem wird es zumindest für eine Übergangsfrist Ausnahmen für selbst signierte und solche Zertifikate geben, die von einer lokalen Firmen-Zertifizierungsstelle ausgestellt wurden. Die harte Linie gilt vorerst nur für Zertifikate von Certification Authorities (CA), die mit dem Browser ausgeliefert werden.

Um sicher zu gehen das der eigene Webshop oder Webseite dann nach einem Browser-Update nicht oder nur mehr mit Umwegen aufzurufen ist, sind Admins gefordert, die Zertifikate mit den veralteten und nicht mehr sicheren SHA-1 Signaturen auszutauschen.

Diesen Austausch auf Zertifikate mit SHA-256 Signaturen bieten viele Zertifizierungsstellen kostenlos an. Wenn das nicht der Fall sein sollte, ist auch ein Wechsel der CA (Certification Authority) eine Überlegung wert, z.B. zum kostenlosen Let‘s Encrypt, dessen Einrichtung und Wartung digital concepts übernimmt.

Online-Shops drohen Umsatzeinbrüche
SHA1 Zertifikat vor dem endgültigen Aus

SHA 1 Zertifikat
Hypertext Transfer Protocol Secure
Transport Layer Security