GlobalSign Blog

15 Dez 2016

Bald ist es soweit: SHA-1 für SSL wird endgültig abgelöst

Inzwischen haben die meisten von Ihnen wahrscheinlich genug über SHA-1 gehört – bereits seit 2014 sprechen wir davon, ob und wie man SHA-1 noch verwenden konnte. Jetzt allerdings beziehen die meisten Browser-Anbieter Stellung gegen den veralteten Algorithmus und die Schonfrist ist vorbei. Es empfiehlt sich dringend ab sofort SHA-256 bei SSL-/TLS-Zertifikaten zu verwenden. Wer Anfang 2017 noch SHA-1 auf öffentlichen Websites verwendet muss mit einigem Gegenwind rechnen. Alle großen Browser-Anbieter haben bereits verschiedentlich vor dem weiteren Gebrauch von SHA-1 gewarnt und ihre Unterstützung reduziert. Google, Mozilla und Microsoft haben weiterhin angekündigt, die Unterstützung von SHA-1 vollständig zu kippen. Das heißt, wer dann immer noch diesen Algorithmus verwendet konfrontiert seine Nutzer nicht nur mit abschreckenden Warnhinweisen, sondern riskiert, dass der Zugriff auf die betreffende Seite komplett blockiert wird.

Browser-Pläne: Keine Unterstützung mehr für SHA-1

Google Chrome

Letzte Woche kündigte Google an, die Unterstützung von SHA-1 endgültig zu beenden. Mit Chrome 56, der Ende Januar 2017 veröffentlicht werden soll, wird ALLEN SHA-1 SSL-/TLS-Zertifikaten, die unter öffentlich vertrauenswürdigen Roots ausgestellt werden, nicht mehr vertraut.

Your connection is not private

Beispiel für die Fehlermeldung, wenn Benutzer eine SHA-1-Website in Chrome ansteuern (Quelle: Google)

Mozilla Firefox

Im Oktober kündigte Mozilla an, dass Firefox den Fehler "Keine vertrauenswürdige Verbindung" anzeigt, wenn man auf eine SHA-1-basierte Website navigiert. Die Richtlinie wird erstmalig in Firefox 51 aufgenommen. Die Browser-Version soll ebenfalls Ende Januar 2017 veröffentlicht werden.

The connection is untrusted

Beispiel für eine Fehlermeldung, die Besucher einer SHA-1-Website in Firefox angezeigt bekommen (Quelle: Mozilla)

Microsoft Edge und Internet Explorer

Nach einer Ankündigung vom Anfang dieses Monats werden Microsoft Edge und Internet Explorer 11 ab dem 14. Februar 2017 die Warnung "Ungültiges Zertifikat" für SHA-1-Webseiten anzeigen und verhindern, dass sie geladen werden.

microsoft sha-1 certificate error

Beispiel für die Fehlermeldung bei einer SHA-1-Website in Edge oder IE11 (Quelle: Microsoft)

So finden Sie SHA-1-Zertifikate

Wenn Sie sich nicht sicher sind, ob Ihre Zertifikate SHA-1-basiert sind, oder wenn Sie vermuten, dass Sie noch „Nachzügler“ im Einsatz haben, finden Sie hier einige Tipps um sie aufzustöbern.

Für GlobalSign-Kunden: Einloggen und Bericht ausführen

Wenn Sie selbst GlobalSign-Kunde sind, stoßen Sie am besten von Ihrem Account aus einen Report an. Das ist der einfachste Weg SHA-1-Zertifikate zu finden. Nachdem Sie sich eingeloggt haben, gehen Sie einfach zu 'Bestellverlauf durchsuchen', um eine Liste aller Zertifikate zu bekommen. Die sortieren Sie dann einfach nach Signatur-Algorithmus, sodass Sie sofort alle SHA-1-Zertifikate auf einen Blick erkennen. Die Liste lässt sich bei Bedarf in eine CSV-Datei exportieren.

SHA-1 report results in GlobalSign customer portal

SHA-1-Berichtsergebnisse im GlobalSign-Kundenportal

Verwenden Sie ein Certificate Inventory-Tool

Zertifizierungsstellen wie GlobalSign stellen Tools zur Inventarisierung von Zertifikaten zur Verfügung. Das Certificate Inventory Tool (CIT) ist kostenlos. Es wird über ein Online-Portal für öffentlich zugängliche Zertifikate oder als lokaler Agent ausgeführt und inventarisiert unabhängig von der ausstellenden CA alle Zertifikate im Netzwerk (intern und öffentlich). Mithilfe vorgefertigter Berichte lassen sich SHA-1-Zertifikate problemlos suchen und finden. Das ist insbesondere dann hilfreich, wenn ein Unternehmen Zertifikate verschiedener CAs einsetzt oder sich nicht sicher ist, ob noch SHA-1-Zertifikate unter ihnen sind.

Zertifikatdetails geben Auskunft

Wenn Sie nur einige wenige Domains managen, ist es unter Umständen einfacher einen Blick auf das Zertifikat selbst zu werfen. Was und wie angezeigt wird variiert leicht von Browser zu Browser. Im Allgemeinen erhält man mit einem Klick auf das Vorhängeschloss in der URL weitere Zertifikatdetails. Dort kann man sich auch das Zertifikat selbst und damit den Signaturalgorithmus anzeigen lassen.

Example certificate details from Google Chrome.

Beispiel für Zertifikatdetails in Google Chrome.

Ersetzen von SHA-1-Zertifikaten

Wenn Sie SHA-1-Zertifikate auf öffentlich zugänglichen Websites finden, sollten Sie diese schleunigst mit dem SHA-256-Algorithmus neu ausstellen. Dazu müssen Sie die Richtlinien Ihrer CA einsehen, einige gestatten unbegrenzte Neuausstellungen.

Ohne SHA-1 geht es nicht?

Inzwischen wird SHA-256 von den meisten Browsern, Servern und Anwendungen weitgehend unterstützt. Es kommt allerdings durchaus vor, dass Firmen nicht kompatible ältere Anwendungen nutzen, die sie vorläufig noch nicht migrieren können. Ein Beispiel sind Zertifikate zum Signieren von SOAP. Bei älteren Anwendungen werden oft noch SHA-1-Zertifikate gefordert. Auch GlobalSign stellt SHA-1 SSL-/TLS-Zertifikate nicht mehr von öffentlichen Roots aus. Es existiert aber eine eigene Produktlinie, die von nicht-öffentlichen CAs ausgestellt wird: IntranetSSL. Diese Lösung ist ideal für ältere SHA-1-Anforderungsprofile. Sie eignet sich ebenfalls für eine Reihe von Anwendungsfällen, die in öffentlich vertrauenswürdigen Zertifikaten nicht erlaubt sind. Sie erhalten dann die nötige Konfiguration, ohne eine eigene Zertifizierungsstelle betreiben oder sich auf selbstsignierte Zertifikate verlassen zu müssen.  Die IntranetSSL SHA-1-Root wird dann auf alle Browser oder Systemanwendungen übertragen, die sich mit SHA-1-Servern verbinden müssen.

In den obigen Ankündigungen der großen Browser-Anbieter, erwähnen alle drei die weitere Unterstützung von SHA-1-Zertifikaten, die mit einem lokal oder manuell installierten Root-Zertifikat (z. B. der IntranetSSL-Root) verkettet sind. Wie lange noch, ist allerdings ungewiss. Google will diese Option laut eigenen Angaben mit dem ersten Chrome-Release nach dem 1. Januar 2019 nicht mehr gestatten. Es heißt aber weiter, dass die Unterstützung auch vorher beendet wird, sollte es zu einem "schwerwiegenden kryptographischen Bruch" bei SHA-1 kommen. Mozilla und Microsoft legen sich beide nicht auf einen Termin fest, empfehlen aber so schnell wie möglich zu migrieren.

Wer SHA-1-Zertifikate weiterhin intern verwenden will oder muss, kann das also noch eine Zeit lang tun. Aber die Umstellung auf SHA-256 kommt unweigerlich. Es lohnt sich also schon jetzt einen Gedanken daran zu verschwenden, wie man ältere Systeme migriert bevor die Browser-Anbieter SHA-1 endgültig die Unterstützung entziehen.

Sie haben Fragen zur Umstellung auf SHA-256 oder zu älteren SHA-1-basierten Anwendungen? Kontaktieren Sie uns! Wir helfen Ihnen gerne!

Artikel teilen

Jetzt Blog abonnieren