SHA-2-Unterstützung

Das National Institute of Standards and Technology (NIST) empfiehlt zu SHA-2 überzugehen bei der Ausgabe von digitale Zertifikaten. Die SHA-Familie wurde von NIST entwickelt und wird von den Zertifizierungsstellen (CAs) zum Signieren von Zertifikaten verwendet. SHA-2 ist der Nachfolger von SHA-1 ohne jedoch dessen Schwächen zu haben.

Anwendungen

Anwendungen, wie Browser, zeigen Fehler für SHA-1 Zertifikate. Die Art der Warnung die angezeigt wird ist vom Browser abhängig.

• Seit 2016 hat Microsoft die Unterstützung von SHA-1 Code Signing Zertifikate in Internet Explorer gestoppt. Im Jahr 2017 wird Microsoft die Unterstützung von SHA-1 SSL Zertifikaten beenden. Windows 7 und neuer, zeigt eine Warnung für Code Signing SHA-1 Signaturen ohne Zeitstempel die vor 2016 gemacht wurden. Code Signing SHA-1 Signaturen mit einem Zeitstempel werden bis zum 14. Januar 2020 vertraut.
• Google Chrome zeigt eine Warnung für SHA-1 Zertifikate die nach dem 1. Januar 2017 auslaufen.
• Mozilla zeigt Warnungen in Firefox für SHA-1 Zertifikate die nach 2016 ablaufen.

Zertifizierungsstellen

Die Zertifizierungsstellen (CA) werden keine SHA-1 Zertifikate mehr ausstellen.

Zertifikate bestellen

Alle Zertifikate aller Marken werden mit SHA-2 ausgegeben.

• Es ist möglich dir kostenlos ein SHA-1 Zertifikat anstatt des SHA-2 Zertifikates auszustellen.
• Das ehemalige Zertifikat wird nach der Neuausgabe nicht widerrufen.

Wenn Du nicht sicher bist, welcher Algorithmus verwendet wird, kannst Du dein Zertifikat auf SSLCheck überprüfen. Der Algorithmus wird im Feld "Signatur" gezeigt. Du kannst auch den Algorithmus im Kontrolpanel in der Spalte 'Hash' überprüfen.

Hinweis: Dies gilt für End- und Zwischenzertifikate, SHA-1 signierte Rootzertifikate bleiben gültig und werden weiterhin verwendet. Für Rootzertifikate ist die Identität wichtiger als die Signatur des Hashes.

Zertifikate installieren

Die meisten Clients und Server unterstützen SHA-2, Ausnahmen sind veraltete Betriebssysteme wie Windows XP Versionen ohne Service Pack 3. Für die Installation stehen neue SHA-2 Rootzertifikate zur Verfügung.

Die folgenden Clients und Server und mobilen Geräte unterstützen SHA-2:

Clients

• Mac OS X 10.5+
• Microsoft Windows XP SP3, Vista, 7 en 8
• .NET Framework 1.1+
• Internet Explorer 7+
• Apple Safari 5+
• Mozilla Firefox 1.5+
• Opera 9.0+
• Konqueror 3.5.6+
• Mozilla based browsers 3.8+
• OpenSSL 0.9.8+
• Java 1.4.2+ basierte Produkte
• Google Chrome 26+
• Adobe Acrobat/Reader 7+

Server

• Apache server
• Mac OS X Server 10.5+
• Microsoft Windows Server 2003 SP2+
• Microsoft Windows Server 2008+
• Microsoft Exchange 2010 SP3 +
• Microsoft Lync 2010 und 2013
• Oracle WebLogic 10.3.1+

Mobile Geräte

• iPhone OS 3.0+
• Blackberry 5.0+
• Windows Phone 7+
• Android 2.3+

E-mail Clients

Die folgenden Versionen können mit SHA-2 signieren, veraltete Versionen können meist nur SHA-2 signierte E-Mails validieren:

• Mozilla Thunderbird 38 und höher;
• Microsoft Outlook 2007 unter Windows Vista und höher;
• IBM Notes Version 9 und höher.

Hintergrund

Eine solide Hashfunktion wird einen starken Widerstand gegenüber Zusammenstöße bieten, was bedeutet, dass die Wahrscheinlichkeit, dass 2 verschiedene Eingabewerte den gleichen Hash erzeugen, klein sein muss. In den vergangenen Jahren wurden Schwachstellen in SHA-1 gefunden, was den Algorithmus gegenüber Zusammenstößen empfindlicher machte. Dies bedeutet, dass die Chance für passende Eingabewerte bei einem Angriff höher ist.

Bei Zertifikaten wird verwendet Hashing um zu garantieren, dass die Nachricht authentisch ist und authentisch bleibt. Das Cracken des SHA-1-Algorithmus würde bedeuten, dass der Inhalt einer signierten Nachricht oder eines Zertifikats geändert werden kann, ohne es zu merken, da der Hash der Nachricht oder das Zertifikat gleich bleibt. In SHA-2, dem Nachfolger von SHA-1, wurden noch keine Schwachstellen gefunden.