Zusammenfassung
SHA-2 besteht aus mehreren vom NIST (National Institute of Standards and Technology) entwickelten kryptographischen Hashalgorithmen, die den alternden SHA-1-Hashalgorithmus, der eventuelle mathematische Schwächen haben kann, ersetzen sollen.
GlobalSign, in unserer Rolle als Ihr Sicherheitspartner, unterstützt das Auslaufen von SHA-1 und den Übergang zu SHA-256, der am weitesten unterstützte SHA-2 Hashalgorithmus. Wir werden eng mit allen Kunden zusammenarbeiten, um einen nahtlosen Übergang zu gewährleisten. Der erste Schritt im Prozess ist die Verfügbarkeit von GlobalSign SHA-256 SSL-Zertifikaten am 31. März 2014.
Dieser Artikel legt die wichtigsten Ecktermine zur Einführung von SHA-256 SSL-Zertifikaten und das Auslaufen von SHA-1 SSL-Zertifikaten fest.
Wichtige Termine für das Ende des Supports von SHA-1:
| 1. Januar 2016 | Microsoft beendet das Vertrauen in Code Signing-Zertifikate mit SHA-1 |
|---|---|
| 1. Januar 2017 | Microsoft beendet das Vertrauen in SSL-Zertifikate mit SHA-1 |
| Juli 2015 | Microsoft wird die obigen Termine überdenken und möglicherweise beschleunigen, wenn dies zweckmäßig scheint |
Während das CA/Browser Forum SHA 256 noch nicht in seinen Baseline Requirements spezifiziert hat, schwört Microsoft die Branche auf den Termin Januar 2017 ein, an dem sie aufhören, allen über öffentliche Stammzertifikate ausgestellten SHA-1-Zertifikaten zu vertrauen. GlobalSign verfolgt den Status in der CA- und Browserbranche sowie in den Sicherheitsformen und wir werden unsere Kunden über etwaige Änderungen von Eckterminen oder über fundierte Fortschritte beim Abschalten von SHA-1 auf dem Laufenden halten.
GlobalSign-Kunden sollten sich folgende Termine merken:
| 31. März 2014 | GlobalSign ermöglicht und empfiehlt SHA-256 während des SSL Bestellprozesses. |
|---|---|
| 31. März 2014 | GlobalSign-Kunden können zu jedem Zeitpunkt während der Laufzeit des Zertifikats bestehende SHA-1-Zertifikate kostenlos mit SHA-256 neu ausstellen. |
| 31. März 2014 | Neue Zertifikatsanträge, die sich für SHA-1 entscheiden, werden auf einen maximalen Gültigkeitszeitraum des Zertifikats von 3 Jahren begrenzt. GlobalSign wird die SHA-1-Risiken und Auslaufsituation gemeinsam mit Microsoft und anderen Anbietern beobachten, und kann die Gültigkeitszeiträume in den Folgejahren weiter verringern. |
| Januar 2016 | GlobalSign deaktiviert alle SHA-1-Ausstellungsoptionen (Änderungen aufgrund aktualisierter Microsoft-Richtlinie vorbehalten). |
Bekannte Probleme bei der Kompatibilität:
Die meisten Anwendungen, Server und Browser unterstützen heute SHA-256, aber einige ältere Betriebssysteme, wie Windows XP vor Service Pack 3, und einige mobile Geräte, nicht. Bevor der SHA-1-Algorithmus formal von Microsoft und anderen als veraltet betrachtet wird, ist es wichtig zu gewährleisten, dass Ihre Organisation und diejenigen, die sich auf Ihre Infrastruktur verlassen, vom SHA-256 Support profitieren, indem die neueste Version der Anwendung oder des Browsers installiert wird und alle bekannten Sicherheitsupdates für Ihr Betriebssystem durchgeführt werden.
Für weitere Informationen bitte besuchen Sie unsere SHA-2 Kompatibilitätsliste.
Lesen Sie auch:
CA Security Council:
https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/
SHA-256 Support in Windows:
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
Microsoft Root Embedding Program Requirements: