GlobalSign Blog

15 Sep 2014

3-Stufen-Strategie: Für eine einfache Migration von SHA-1 auf SHA-2

Der SHA-1 Hashing-Algorithmus ist mittlerweile veraltet und daher anfällig für kryptografische Angriffe. Daher wird SHA-1 mit SHA-2 ersetzt. GlobalSign empfiehlt allen Kunden so bald wie möglich auf den sicheren SHA-2 Algorithmus umzustellen, und bietet ab Dezember keine SHA-1 Zertifikate mehr an.

Globalsign hat eine Strategie in drei Schritten entwickelt, um Kunden und Partnern die Migration mit Tipps und praktischen Hinweisen zu erleichtern.

1. Existierende SHA-1 Zertifikate identifizieren

Scannen oder inventarisieren Sie die aktuellen Zertifikate, die in Ihren Netzwerken verwendet werden und bestimmen Sie, wie viele Zertifikate SHA-1 nutzen.

GlobalSign bietet zwei Optionen um Ihre Zertifikate zu identifizieren:

1. GlobalSigns SSL Server Test:

- Gehen Sie auf https://globalsign.ssllabs.com/ und geben Sie Ihren Domain ein.
- Die Signatur und das Ablaufdatum finden Sie unter „Authentication”. Falls Ihr Zertifikat SHA-1 anzeigt, sollten Sie Ihr Zertifikat so bald wie möglich wiederausstellen.

SHA1

2. Certificate Inventory Tool (CIT)

- GlobalSigns CIT Tool kann über ein einfach abzurufendes Online-Portal genutzt werden. Damit können Sie öffentliche oder interne Zertifikate in Ihrem gesamten Netzwerk finden, egal welche Zertifizierungsstelle es ausgestellt hat.
- Mit dem SHA-1 Zertifikatsreport können Benutzer SHA-1 Zertifikate in wenigen Minuten finden.

2. Ersatz von Zertifikaten priorisieren und existierende SHA-1 Zertifikate identifizieren

Obwohl wir empfehlen, Ihre SHA-1 Zertifikate so bald wie möglich zu ersetzen, verstehen wir, dass Sie eventuell Prioritäten setzen müssen.

Nach Ablaufdatum

Konzentrieren Sie sich zunächst darauf, SHA-1-Zertifikate mit Ablaufdatum 2017 zu ersetzen, dann 2016 und früher. Der Grund dafür ist, dass Google die Chrome-Benutzeroberfläche schrittweise einschränkt, beginnend mit den Zertifikaten, die nach 2017 auslaufen. In zukünftigen Versionen wird dann ein eingeschränktes UI für Zertifikate angezeigt, die nach 2016 auslaufen.

Öffentliche Zertifikate

Konzentrieren Sie sich darüber hinaus darauf, zuerst Zertifikate auf den extern zugänglichen Websites auszutauschen. Aufgrund der Art, wie der Chrome-Browser Websites handhabt, die SHA-1-Zertifikate verwenden, sind öffentliche Sites zuerst betroffen. Hier sehen Sie ein Beispiel mit Chrome 41.

Google red cross

In Googles Blog erfahren Sie mehr über die Google Richtlinien und wie Warnungen vor SHA-1 angezeigt werden.

Einsatz von SHA-2

Der Einsatz von SHA-2 steigt stetig und die am häufigsten verwendeten Browser, Server und Anwendungen unterstützen alle bereits SHA-2. Aber es gibt immer noch einige, die es nicht tun. Sie sollten gezielt nach älteren Anwendungen suchen und überprüfen, ob sie SHA-2 unterstützen. Wenn möglich, aktualisieren Sie nicht unterstützte Anwendungen. Bestimmen Sie bei den Anwendungen, die Sie nicht aktualisieren können, mit welchen Servern sich die ältere Anwendung verbindet und welche Auswirkung dies hat.

Wenn die Anwendungen nicht öffentlich zugänglich sind, können Sie SHA-1 nutzen, bis Sie ausreichend Zeit für ein Upgrade haben. Sprechen Sie mit jemanden von GlobalSign über unsere IntranetSSL Zertifikate, mit denen Sie weiterhin SHA-1 Zertifikate für interne Server einer nicht-öffentlichen Root ausstellen können.

3. Splitten von Multi-Domain-Zertifikaten in Betracht ziehen

Wenn Sie mehrere SANs, Unified Communications oder Wildcard-Zertifikate verwenden, sollten Sie erwägen, das Zertifikat in mehrere Zertifikate zu splitten. Damit können Sie die meisten Anwendungen auf SHA-2 aktualisieren und (falls erforderlich) SHA-1 zur Unterstützung älterer Anwendungen NUR auf den Servern verwenden, mit denen sich diese Anwendungen verbinden müssen.


Artikel teilen