GlobalSign Blog

09 Sep 2014

Google will vor Seiten warnen, die SHA-1 verwenden

In einem unserer jüngsten Blogs Posts haben wir uns bereits mit dem Thema  beschäftigt: Es ist immens wichtig die jeweils aktuellen Hash-Algorithmen bei SSL-Zertifikaten einzusetzen, ganz besonders im Hinblick auf den Übergang von SHA-1 zu SHA-256.

Google veröffentlichte vor kurzem eine neue Richtlinie, die besagt, dass bei HTTPS-Sites, die noch ein SHA-1-Zertifikat im User-Interface nutzen der Browser zukünftig eine Warnung anzeigt.

Auch wenn die genauen Daten dafür noch nicht feststehen, ist das der richtige Zeitpunkt, um aktiv zu werden. Grundsätzlich ist die Richtlinie ein positiv zu bewertender Schritt, hin zu einem höheren Sicherheitslevel. Aber was genau bedeutet das konkret für Sie?

Chrome 39 soll SHA-1-Zertfikate vertreiben

Das SHA-1-Verfahren wird seit längerem schon als nicht mehr ausreichend sicher betrachtet und im Laufe der nächsten Jahre abgelöst. Um einen Anreiz zu schaffen modernere Hash-Verfahren einzusetzen, hat Google bereits sein User-Interface bei Chrome 39 entsprechend verändert: Benutzer werden jetzt aktiv darauf hingewiesen, dass die betreffende Seite noch SHA-1 einsetzt.

Googles Pläne SHA-1 aus dem Internet zu verbannen, setzt das Unternehmen stufenweise um. Den ersten Schritt tut es mit Google Chrome 39, der neuen Version, die voraussichtlich im November 2014 verfügbar sein wird. Anfangs werden sich die angezeigten Warnhinweise auf den Text „Sicher, aber mit geringen Fehlern/Risiken“ in Form eines gelben Warndreiecks beschränken. In späteren Versionen wird das gelbe Warndreieck allerdings durch ein rotes Kreuz ersetzt und die Seite gesperrt.

Google Warning yellow

Sicher mit geringen Fehlern/Risiken

Google Warning red cross

Definitiv unsicher, schwerwiegende Fehler/Risiken

Es ist wichtig, alle SHA-1-Zertifikate, die nach dem 31.12.2015 ablaufen noch vor November 2014 upzugraden, um die Benutzererfahrung nicht zu beeinträchtigen. Google hat das Datum für die Änderung in einem Blog veröffentlicht und wird nach eigenen Aussagen auch weiterhin Feedback von betroffenen Herstellern, ISVs, Unternehmen und Seitenbetreibern entgegennehmen und prüfen. Feedback geben Sie am besten direkt in der Google group.

Seien Sie vorbereitet!

Unter dem folgenden Link können Sie überprüfen, ob Ihre Website für die neuen Anforderungen gerüstet ist: https://globalsign.ssllabs.com/.

SHA1

Sollte Ihre Website derzeit SHA-1-SSL-Zertifikate benutzen, die nach dem  31.12.2015 ablaufen, sollten Sie wie folgt vorgehen, um die SSL-Sicherheit zukunftsfähig zu machen:

  • Stellen Sie Ihr Zertifikat mit SHA-256 neu aus. Damit stellen Sie sicher, dass Ihre Website vollständig den Anforderungen von Google Chrome 39 entspricht. GlobalSign stellt Ihnen das Zertifikats-Upgrade auf SHA-256 kostenlos zur Verfügung.
  • Sollte die betreffende Applikation / die betreffenden Applikationen SHA-256 nicht unterstützen, empfehlen wir Ihnen dringend, die Anwendungen auf den aktuellen Stand zu bringen. Weitere Informationen zur Kompatibilität finden Sie hier.

Zögern Sie nicht: Vermeiden Sie, dass Benutzer, die über Chrome  auf Ihre Website kommen,  beeinträchtigt werden oder, schlimmer noch, der betreffenden Seite zukünftig misstrauen. Wenn Sie im Zweifel darüber sind was Sie am besten tun sollten: Wir beraten Sie gerne.

Artikel teilen

Jetzt Blog abonnieren