GlobalSign Blog

02 Okt 2014

Mozilla warnt ebenfalls vor SHA-1

Auch Mozilla spricht sich jetzt dafür aus SHA-1 abzulösen. Die Initiative wurde ursprünglich von Microsoft angestoßen. Erst kürzlich hatte Google in Verbindung mit seiner nächsten Chrome-Version angekündigt, vor Seiten zu warnen, die SHA-1 benutzen. Der entsprechende Mozilla Security Blog wird eingeleitet mit den Worten: „Es nutzen immer noch zahlreiche Websites SSL-Zertifikate auf Basis von SHA-1-Signaturen. Wir schließen uns den Positionen von Microsoft und Google an, dass SHA-1-Zertikate nach dem 1. Januar 2016 nicht mehr ausgegeben und nach dem 1. Januar 2017 auch nicht mehr als vertrauenswürdig eingestuft werden sollten.“

Zeitliche Abfolge und zu erwartende Änderungen

Wie im Mozilla Blog beschrieben wird die erste Aktion darin bestehen Warnhinweise in der Web-Konsole anzubringen. Nutzer werden daran erinnert, keine SHA-1-basierten Zertifikate mehr zu benutzen. Für alle Zertifikate, die später als zum 1. Januar 2017 (dem ursprünglich von Microsoft genannten Datum, ab dem SHA-1 als nicht mehr vertrauenswürdig eingestuft werden soll) ablaufen, plant Mozilla weitere und dringlichere Warnhinweise.

Die für die Web-Konsole geplanten Änderungen sollen erstmals in den Firefox-Versionen ab Anfang 2015 verwendet werden.

In Bezug auf weitere Daten und Änderungen des Browser-UI sind bisher folgende bekannt geworden:

  • 1. Januar 2016 – alle SHA-1-Zertfikate, die nach diesem Datum ausgegeben wurden, verursachen die Fehlermeldung „Keine vertrauenswürdige Verbindung“
  • 1. Januar 2017 – ALLE SHA-1-Zertifikate verursachen die Fehlermeldung „Keine vertrauenswürdige Verbindung“

Firefox

Hier ein Beispiel wie diese Fehlermeldung laut Mozilla aussehen wird

In der Ankündigung heißt es weiter: „Wir werden möglicherweise zu einem späteren Zeitpunkt weitere Hinweise in das User Interface integrieren“. Es sind also gegebenenfalls weitere Änderungen zu erwarten. Wir versorgen Sie an dieser Stelle mit Informationen und Details, sobald uns diese zur Verfügung stehen.

Ist Ihre Website vorbereitet?

Ob Ihre Website derzeitig ein SHA-1-basiertes Zertifikat benutzt können Sie direkt hier überprüfen: https://globalsign.ssllabs.com/

SHA1

Wenn Sie noch ein SHA-1 SSL-Zertifikat benutzen, das später als zum 31.12.2016 abläuft, sollten Sie aktiv werden, um nicht von den UI-Warnhinweisen im Mozilla-Browser betroffen zu sein:

  • Erneuern Sie Ihr Zertifikat auf SHA-256. Damit stellen Sie sicher, dass Ihre Website mit den neuen Versionen von Chrome und Firefox kompliant ist. Das Upgrade auf SHA-256 ist bei GlobalSign kostenlos.
  • Sollten Ihre Anwendungen SHA-256 nicht unterstützen, empfehlen wir dringend alle betroffenen Applikationen so schnell wie möglich ebenfalls upzudaten.

Überprüfen Sie Ihre Zertifikate am besten sofort, so dass Besucher Ihrer Website von verstörenden Warnhinweisen verschont bleiben. Wenn Sie Fragen zur Kompatibilität haben oder dazu wie Sie ein neues Zertifikat ausstellen, wenden Sie sich direkt an uns. Wir helfen Ihnen gerne weiter.

SSL Konfiguration

Artikel teilen