Beiträge und Tags

April 2017

Bilder sagen mehr als Tausend Worte - Warum Bilder im Webshop wichtig sind!

März 2017

Omnichannel - Die Verschränkung von Online- und stationärem Handel

Januar 2017

Ende für SHA-1 Zertifikate

Dezember 2016

Unerwartete Überlastungen des Webshops - Lösungsansätze

November 2016

Amazon Marketplace vs. Eigener Shop

Oktober 2016

Kundenloyalität (Teil 3)

September 2016

Kundenbindung (Teil 2)

August 2016

Kundenbindung vs Kundenzufriedenheit vs Kundenloyalität (Teil 1)

Juli 2016

Responsive Design vs. Mobile Website - Was ist Besser für SEO?
Was Gütesiegel im E-Commerce bringen

Juni 2016

Alternative Streitbeilegung - Informationspflichten ab 2016

Mai 2016

Wie man richtig testet - Eine Checkliste für Webshops
Hochkarätiges E-Commerce-Treffen
Webshop im B2B Bereich - hier schlummert enormes Potenzial
Was bedeutet „Responsive Design“
Die wichtigsten E-Commerce-Trends 2016
Ist Ihre Webseite schon barrierefrei?
Wertvolle Tipps, wie Sie im Web erfolgreicher werden
Der Einfluss von Ladezeiten
7 SEO Tipps für Ihren Webshop
Was bedeutet Google Analytics?
Google+ Pro und Contra
Ist Ihre Webseite für Smartphones & Tablets optimiert?
Bessere Shops durch Analyse von Mausbewegungen und Klicks
JSON mit Postgres
DNS Einträge

Ende für SHA-1 Zertifikate

Wer im Internet unterwegs ist, begegnet in letzter Zeit immer öfter Webseiten deren URLs mit https:// beginnen. HTTPS steht für Hypertext Transfer Protocol Secure (dt. etwa „sicheres Hypertext-Übertragungsprotokoll), und soll sicher stellen, dass die Kommunikation zwischen Browser und Server nicht für jeden lesbar sind. Es handelt sich daher um eine Transportverschlüsselung. Das heißt, der Verkehr zwischen zwei Endpunkten wird durch unterschiedliche kryptografische Verfahren verschlüsselt, und kann nur mehr mit hohem Aufwand durch Dritte ausgelesen werden.


Zertifikate

Damit jedoch der Kommunikationspartner sicher gehen kann, dass er mit einem vertrauenswürdigen Gegenüber kommuniziert, findet eine Identifikation und Authentifizierung der Partner statt.

Dies geschieht mittels so genannter Zertifikate, die die zur Prüfung notwendigen Daten beinhalten. Die Ausstellung dieser Zertifikate erfolgt durch eine offizielle Zertifizierungsstelle (Certification Authority, kurz CA) , denen beide Kommunikationspartner vertrauen müssen.

Diese Zertifikate werden von der ausstellenden Zertifizierungsstelle mit Hilfe einer kryptologischen Hashfunktion digital signiert. Die am weitesten verbreitete Hashfunktion in diesem Bereich ist der Secure Hash Algorithm (SHA) mit den Varianten SHA-1 und SHA-2/SHA-256.

Ist die Hashfunktion unsicher, können Unbefugte gültige Zertifikate ausstellen um sich als der gewünschte Kommunikationspartner auszugeben.

Der SHA-1 Algorithmus wurde bereits vor mittlerweile 12 Jahren geknackt, was zur Folge hatte, dass man nun von der Verwendung von SHA-1 für die Signierung von Digitalen Zertifikaten abrät, da es durch die kontinuierliche Erhöhung der Rechenleistung immer leichter wird, Zertifikate zu fälschen.


Ende der Unterstützung von SHA-1 durch Browser

Durch diese Entwicklungen gehen nun die Browserhersteller dazu über, mit SHA-1 signierte Zertifikate als unsicher einzustufen und in weiterer Folge die Verbindung zu solchen Websites ganz zu blockieren.

Der 1. Jänner 2017 gilt als Stichtag für die „Eliminierung“ von SHA-1 aus dem Web.

Allerdings wird der Umstieg nicht abrupt zu diesem Termin erfolgen, sondern mit Browser-Updates in den Wochen und Monaten danach ausgerollt, erklären die Browser-Hersteller einheitlich. Die genaue Timeline ist noch etwas im Fluss, allgemein ist jedoch von Mitte bis Ende Januar beziehungsweise bei Microsoft sogar Februar die Rede. Chrome und Firefox wollen nach derzeitigem Stand ab den Versionen 56 bzw. 51 die SHA-1 Unterstützung einstellen. Außerdem wird es zumindest für eine Übergangsfrist Ausnahmen für selbst signierte und solche Zertifikate geben, die von einer lokalen Firmen-Zertifizierungsstelle ausgestellt wurden. Die harte Linie gilt vorerst nur für Zertifikate von Certification Authorities (CA), die mit dem Browser ausgeliefert werden.


Fazit

Um sicher zu gehen das der eigene Webshop oder Webseite dann nach einem Browser-Update nicht oder nur mehr mit Umwegen aufzurufen ist, sind Admins gefordert, die Zertifikate mit den veralteten und nicht mehr sicheren SHA-1 Signaturen auszutauschen.

Diesen Austausch auf Zertifikate mit SHA-256 Signaturen bieten viele Zertifizierungsstellen kostenlos an. Wenn das nicht der Fall sein sollte, ist auch ein Wechsel der CA (Certification Authority) eine Überlegung wert, z.B. zum kostenlosen Let‘s Encrypt, dessen Einrichtung und Wartung digital concepts übernimmt.


Weitere Informationen


Newsletter Anmeldung

Zum digital concepts Newsletter anmelden und Informationen rund um die Themen Softwareentwicklung und Online Shops erhalten.

Bitte füllen sie dieses Feld aus.
Bitte füllen sie dieses Feld aus.

* Pflichtfeld

FIRMA

digital concepts
Novak Winkler OG
Landstraße 68/5. Stock
4020 Linz
AUSTRIA

+43 732 9971170
service@digital-concepts.com

DIGITAL CONCEPTS

Wir sind die Profis für individuell angepasste Shopsysteme und E-Commerce Lösungen mit allen aktuellen Features, die Sie für Kunden im B2B- oder im B2C-Bereich benötigen.

© 2016 by digital concepts - Die E-Commerce Lösung.  |  "Wir machen unsere Kunden beim Verkauf im Web erfolgreich!"