Browser verlangen Wechsel zu SHA-2

14 Januar 2016

Google Chrome hat angekündigt, den Support des Hash-Algorithmus SHA-1 einzustellen. SHA-2 ist der Nachfolger des SHA-1 und soll der neue Standard werden, da SHA-1-Zertifikate nicht länger als sicher angesehen werden. Google, Microsoft und Mozilla beabsichtigen, SHA-1 spätestens ab Januar 2017 zu sperren, obwohl sie überlegen, diesen Zeitpunkt aufgrund der zunehmenden Sicherheitsrisiken auf Juli 2016 vorzuverlegen.

Die verschiedenen Varianten von SHA sind, ebenso wie der MD5, Hashcodes, mit denen ein Prüfwert für ein Zertifikat erzeugt werden kann. Dieser wird dann digital von einer CA signiert. Damit kann ein Nutzer die Authentizität des Zertifikats verifizieren.

Browser warnen vor SHA-1

Ab Anfang 2016 werden die meisten Browser eine Warnmeldung einblenden, wenn Nutzer versuchen, eine Website mit einem SHA-1-Zertifikat aufzurufen. Browser akzeptieren SHA-1 für Stammzertifikate, da diese auf der Liste mit vertrauenswürdigen Zertifikaten des Browsers enthalten sind. Stammzertifikate werden von Zertifizierungsstellen wie Comodo und Symantec ausgegeben. Das ist immer noch sicher, da SHA-1-Signaturen für Stammzertifikate für die Bestätigung ihrer Identität und nicht für die Verifizierung der Zertifikate für Webseiten verwendet werden.

Missbräuchliche Verwendung von SHA-1 ist relativ günstig

Die Gefahren der SHA-1-Zertifikate sind schon seit einer Weile bekannt. Die Browser-Hersteller haben dringend nach einer Lösung für dieses Problem gesucht, da verschiedene Studien gezeigt haben, dass es für Cyber-Kriminelle relativ einfach ist, mit SHA-1 geschützte Verbindung anzugreifen. Eine schwache Hash-Funktion ermöglicht die Erzeugung von zwei Zertifikaten mit demselben Hash, so dass Zertifikate gefälscht werden können. Dadurch ist es mit den richtigen Fähigkeiten möglich, häufig genutzte Websites zu nachzuahmen und den Traffic auf diese Website umzuleiten.

SHA-2 wird von älteren Browsern nicht unterstützt

Ab dem 1. Januar 2016 werden keine SHA-1-Zertifikate mehr ausgegeben. Das hat den Nachteil, dass nicht jeder über ein System verfügt, das SHA-2-Zertifikate unterstützt. Windows XP SP2, Android 2.2 und ältere Systeme unterstützen SHA-2 nicht, obwohl diese Systeme in weiten Teilen der Welt noch allgemein gebräuchlich sind. Das bedeutet, dass weltweit rund 37 Millionen Menschen überwiegend in Entwicklungsländern Probleme mit ihren Zertifikaten bekommen werden.

Für die Zukunft gerüstet

Forscher erwarten, dass uns der Nachfolger SHA-2 und der noch aktuellere Hash-Algorithmus SHA-3 noch viele Jahre gute Dienste leisten wird. Diese Systeme enthalten grundlegende Änderungen und bieten mehr als ausreichend Widerstand gegen aktuelle Angriffsformen. Mit der Zunahme der Rechenkapazität unserer Computer werden ständig neuere SHA-Hash-Algorithmen entwickelt, um die Sicherheit des Datenverkehrs zu gewährleisten.

Wie kann ich erkennen, ob eine Website ein SHA-1-Zertifikat verwendet?

Im Moment ist es noch nicht möglich zu erkennen, ob eine sichere Website von einem SHA-1- oder SHA-2-Zertifikat geschützt wird. Die Chance ist groß, dass die Website bereits über ein SHA-2-Zertifikat verfügt, eine Verifizierung wird aber empfohlen, um den Besuch einer nicht sicheren Website und den Erhalt störender Warnmeldungen zu vermeiden. Auf SSLCheck erfahren Sie, welche Hash-Algorithem von bestimmten Zertifikaten genutzt werden.

Alle neuen Zertifikate werden üblicherweise mit SHA-2 ausgegeben, während bestehende SHA-1-Zertifikate kostenlos als SHA-2-Zertifikat neu ausgegeben werden können.