SHA1 Zertifikate werden früher als bisher angekündigt geblockt

Wer noch nicht darüber nachgedacht hat, seine SHA1 Zertifikate gegen SHA256 (auch SHA2 genannt) zu tauschen, sollte nicht mehr all zu viel Zeit ins Land ziehen lassen.

Microsoft hat angekündigt SHA1 Zertifikate ab Juni 2016 nicht mehr zu unterstützen und damit zu blocken. Ein entsprechender Eintrag findet sich hier:

http://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

Auch Mozilla hat für Firefox ein entsprechenden Vorgehen bereits angekündigt:

https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/

Ebenso wie Google für Chrome:

https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/2-R4XziFc7A/YO0ZSrX_X4wJ

Konkret geht es hier um SHA1 als Signaturhashalgorithmus:

image7

Ab Januar 2016 wird der Internet Explorer ´mit SHA1 signierte Zertifikate bereits mit einer Zertifikatswarnung versehen. Bisher war angedacht SHA1 ab dem Januar 2017 nicht mehr zu unterstützen. Dieses Datum wurde jetzt auf Juni 2016 vorgezogen. Grund hierfür ist das SHA1 signierte Zertifikate schon seit langer Zeit als unsicher anzusehen sind:

https://sites.google.com/site/itstheshappening/

Und mit seit langer Zeit meine ich, sehr lange: (Der Artikel ist aus dem Jahre 2005)

http://www.heise.de/newsticker/meldung/Kryptoverfahren-SHA-1-geknackt-135372.html

Die meisten öffentlichen CAs stellen bereits nur noch SHA2 Zertifikate aus. Oft bieten die öffentlichen CAs auch an, bestehende SHA1 Zertifikate kostenlos auszutauschen. Besonders einfach geht das bei Zertifikaten die über den Reseller PSW bezogen wurden. Hier muss nur die Bestellnummer und ein neuer CSR eingereicht werden und schon bekommt man ein neues Zertifikat:

https://www.psw-group.de/ssl-zertifikate/austausch/

Bei den CAs direkt ist es etwas aufwändiger, aber ebenso möglich:

Auch Zertifikate die von einer internen Zertifizierungsstelle ausgestellt wurden, sind davon betroffen. Damit eine Windows CA SHA2 Zertifikate ausstellen kann, muss in den meisten Fällen nur der Signaturhashalgorithmus umgestellt werden. Wie das geht habe ich hier beschrieben:

https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/

Übrigens: Auch meine Seite ist verschlüsselt erreichbar (natürlich bereits mit SHA2)

image

Ein weiterer wichtiger Hinweis zum Schluss:

Die Ankündigung SHA1 nicht mehr zu unterstützen bezieht sich auf die Webserver bzw TLS Zertifikate, nicht auf die Zertifikate der Zertifizierungsstellen selbst. Die Root-CAs dürfen weiterhin mit SHA1 signiert sein. Hier auch am Beispiel GeoTrust zu sehen:

image

3 thoughts on “SHA1 Zertifikate werden früher als bisher angekündigt geblockt”

  1. Hello Frank,
    wohl dem der eine PKI betreibt… Ich meine natürlich alle, die lediglich mit selbst-signierten Zertifikaten arbeiten.
    Gruß Marco

    Reply
  2. Hello Frank,
    guter Hinweis… Ob Microsoft an die selbst-signierten Exchange Zertifikate gedacht hat, die bis heute mit sha1 Algorithmus ausgestellt werden? Oder kennst du einen Weg, diese auf sha2 umzustellen?
    Grüsse

    Reply

Leave a Comment