GlobalSign Blog

21 Okt 2015

Neue SHA-1 Schwachstellen werden bekannt

Eine Zusammenschluss von Sicherheitsexperten hat bekannt gegeben, dass erfolgreiche „Freestart Kollisionen“ auf SHA-1 durchgeführt werden konnten (https://sites.google.com/site/itstheshappening/). Diese Art von Kollisionen führt nicht zwangsläufig zu totalen Kollisionen für SHA-1, aber die Wahrscheinlichkeit eines erfolgreichen SHA-1 Angriffs kann nun besser eingeschätzt werden. In Folge daraus wird Administratoren von Websites dringenst empfohlen verbleibende SHA-1 Zertifikate schnellstmöglich auszutauschen.

Hashing Kollisionen

Hashing Kollisionen entstehen, wenn zwei verschiedene Nachrichten oder Zertifikate den gleichen Hash-Wert ergeben. Für SHA-1 besteht der Hash aus 160 Bits – Forscher sind in der Lage sich kryptoanalytische Fortschritte zu Nutze zu machen, was wiederum den Hash schwächt. Die sinkenden Kosten von Rechenleistung wiederum erhöht die Wahrscheinlichkeit den SHA-1 Algorithmus zu knacken jeden Monat.

Anstehende Deadlines

GlobalSign unterstützt die Richtlinien des CA/B Forums, das allen öffentlich vertrauten CAs vorschreibt ab 31. Dezember 2015 keine SHA-1 SSL-Zertifikate mehr auszustellen. Wir halten uns auch an weitere Empfehlungen der Branche (zuerst von Microsoft in 2013 vorgeschlagen) und vertrauen ab Januar 2017 keinen SHA-1 SSL Zertifikaten mehr.

Als Teil unserer fortlaufenden Kundenkommunikation empfehlen wir allen Kunden Ihre SHA-1 Zertifikate in 2015 zu erneuern oder wiederauszustellen. Der Report über die erfolgreichen Freestart Collisions ist nur eine weitere Erinnerung daran wie wichtig ein Upgrade ist, um Ihre Website sicher zu halten.

Noch heute upgraden

Sie können Ihr Zertifikat einfach und kostenlos auf den sicheren SHA-256 Algorithmus umstellen. Wir haben in einem früheren Blogpost eine schrittweise Anleitung dafür zusammengestellt:
3-Stufen-Strategie: Für eine einfache Migration von SHA-1 auf SHA-2

Falls Ihre alten Anwendungen auch in 2016 weiterhin SHA-1 benötigen bieten wir bei GlobalSign Ihnen zwei Optionen:

  • Beantragen Sie vor dem 14. Dezember 2015 ein neues SHA-1 Zertifikat. Der 14. Dezember ist der Stichtag ab dem GlobalSign keine neuen SHA-1 Bestellungen mehr annimmt.
  • Falls Sie kein öffentliches Vertrauen benötigen ist IntranetSSL das richtige für Sie.

Beim Erneuern oder Wiederausstellen Ihrer SSL-Zertifikaten bieten RSA Schlüssel, die länger als 2048 Bits sind, oder ECC Schlüssel, die 256 oder 384 Bits haben, optimale Sicherheit.

Für mehr Informationen oder eine Beratung lesen Sie entweder den ganzen Bericht unter https://eprint.iacr.org/2015/967.pdf  oder sprechen Sie mit einem GlobalSign-Experten!

Artikel teilen