single.php
< Beitrag von Marc Muellenbach

Sicherheitsrisiko SHA1 – SHA1-signierte Zertifikate werden bald ungültig

Viele von uns werden beim Aufsetzen ihrer internen Zertifizierungsstelle vor einigen Jahren nicht darauf geachtet haben, welcher Signaturalgorithmus gewählt wurde. Standarmäßig war als Secure Hash Algorithm zu dieser Zeit SHA1 vorausgewählt. Das heißt, dass es momentan „draußen im Feld“ nach wie vor viele Zertifizierungsstellen gibt, deren Stammzertifikat mit diesem Algorithmus signiert sind. Doch was bedeutet das konkret? Ich gebe in diesem Artikel einen kurzen Überblick zum Thema „Sicherheitsrisiko SHA1„.

Sicherheitsrisiko SHA1 – aufs Erstellungsdatum kommt es an!

Welche Auswirkungen hat die Einstufung als „Sicherheitsrisiko“ bzw. wann ist ein Zertifikat angreifbar? Wichtig dabei ist das Erstellungsdatum des Zertifikats:

SHA1 wird heutzutage nicht mehr als sicher genug eingestuft. Die Rechenleistung von Supercomputern ist immer besser und preiswerter geworden. Dies hat dazu geführt, dass die Verschlüsselung von Zertifikaten mittlerweile innerhalb weniger Tage geknackt werden kann. Gerade die relativ geringe Verschlüsselung des SHA1-Algorithmus wird hier immer wieder genannt.

Dies führt bei den gängigen Browsern (Internet Explorer, Firefox, Chrome) zu einer Fehlermeldung, wenn die Zertifikate nach dem 01.01.2016 ausgestellt wurden und noch mit SHA1 signiert sind.

Zertifikate, die vor dem 01.01.2016 ausgestellt wurden, werden weiterhin als sicher eingestuft und können bis zu ihren Ablaufdaten genutzt werden, gelten aber als angreifbar.

Was tun?

Über kurz oder lang sollte man sich allerdings Gedanken darüber machen, das Stammzertifikat zu tauschen und somit wieder auf der sicheren Seite zu sein. Hier sollte dann aber eine andere Verschlüsselungsmethode gewählt werden, zum Beispiel SHA256 oder SHA512.  Keine Sorge – selbst wenn das Stammzertifikat getauscht wird, werden ausgestellte Zertifikate weiterhin gültig sein. Neue Zertifikate werden aber schon mit dem neuen Schlüssel signiert. Und ja, man sollte danach dennoch so schnell wie möglich die Zertifikate auf Webservern oder anderen Systemen auf den neuen Stand bringen.

Weiterführende Informationen zu diesem Thema finden Sie hier SHA1 Deprecation Update und hier Windows Enforcement of Authenticode Code Signing and Timestamping.

Um das Thema einigermaßen „leserlich“ darzustellen, habe ich versucht, es nicht zu technisch werden zu lassen. Falls also hier nicht alles 100 % korrekt ausgedrückt ist, bitte ich dies zu entschuldigen.

Aber Sie dürfen natürlich gerne mit Fragen oder Kommentaren auf mich zukommen.

Folgen
X

Folgen

E-mail : *
Kategorie: Unified Communication | Schlagwörter: , , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.