Google Chrome und SHA-1 Zertifikate - Ende der SHA-1 Signatur

27.06.2016 | Petra Alm

Das Ende der SHA-1 Signatur ist nichts Neues, Google hat jedoch den Prozess bei Chrome beschleunigt. In den nächsten Wochen sollten Sie Ihre SSL-Zertifikate überprüfen. Dieser Artikel bietet ihnen ein paar mögliche Lösungen an.

Was heißt SHA-1 und wo wird es verwendet?

Unter der Abküzung SHA versteht sich der Begriff Secure Hash Algorithm - die gängigere Hashfunktion. Der Hash (stammt vom englischen Verb to hash, das sich als „zerhacken“ übersetzen lässt) ist eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge, so wie ein Fingerabdruck einen Menschen nahezu eindeutig identifiziert. Mithilfe des Hashes können Sie überprüfen, ob die Daten geändert worden sind oder nicht.

Mehr Informationen zum SHA-2 Algorithmus finden Sie im Artikel Umstellung von SHA-1 Zertifikaten - FAQ.

Warum wird der Hash-Algorithmus geändert?

Alle Algorithmen für Verschlüsselung und Sicherheit basieren auf einem mathematischen Problem, das man nur sehr schwierig lösen kann. Es wird vorausgesetzt, dass die Algorithmen von keinem Mensch und keiner Maschine gebrochen werden können. Von Zeit zu Zeit müssen die Algorithmen gewechselt werden.

Wann er richtige Zeitpunkt ist, lässt sich nicht eindeutig sagen; in der Regel folgt die Laufzeit des Algorithmus der Empfehlung des Institutes für Standardisierung. Eines der Institute für Standardisierung ist das amerikanische NIST - National Institute of Standards and Technology. Dies hat empfohlen, das SHA-1 nach 2013 nicht mehr zu verwenden, was dazu führte, dass auch die Software-Hersteller, den Hash-Algorithmus wechseln wollten.

Sicherheitswarnung bei zukünftigen Google Chrome Versionen 

Der beliebte Google Chrome Browser wird vor allen Webseiten warnen, die SHA-1 Zertifikate mit Laufzeit in 2016 verwenden.

• Chrome 39, der schon im November herausgegeben wird, wird das gelbes Dreieck bei den SHA-1 Intermediate-Zertifikaten darstellen, welches heute das Symbol für den gemischen Webseiteninhalt ist. Die Meldung wird Secure, but with minor errors lauten - also Sicher, aber mit kleinen Fehlern.

 Secure, but with minor errors. Quelle: Google security blog

• Chrome 40 (wird nach Weihnachten herausgegeben) - Zertifikate mit Laufzeit zwischen 1.6.2016 und 31.12.2016 mit dem SHA-1 Zertifikat werden dieselbe Sicherheitswarnung darstellen: Sicher, aber mit kleinen Fehlern. Wenn das Zertifikat nach 1.1.2017 abläuft, wird die Warnung "neutral, lacking security" lauten - Neutral, aber mit Sicherheitsmängeln. Das Schlösschen wird verschwinden und die Darstellung ist die gleiche, wie bei einer Webseite ohne ein Zertifikat.

 Neutral, lacking security. Quelle: Google security blog

• Chrome 41 - letzte Phase. Für die Zertifikate mit Laufzeit in der zweiten Hälfte von 2016 wird die oben genannte Meldung Neutral, lacking security gelten. Für den zweiten Fall, also für die Zertifikate mit Ablaufdatum nach 1.1.2017 wird der "Status Affirmatively insecure - Keine sichere Absicherung" gelten. Unten können Sie das graphische Symbol sehen - welches gleich ist wie das Symbol der heutzutage nicht aktuellen SSL-Zertifikate.

 Affirmatively insecure. Quelle: Google security blog

Was bedeutet das für die Kunden von SSLmarket?

Die meisten Kunden von SSLmarket brauchen sich keine Sorgen zu machen, da der Wechsel vor allem die SSL-Zertifikate betrifft, die 2017 oder später ablaufen. Die Verlängerung sollte schon mit SHA-2-Algorithmus durchgeführt werden, Sie können das Zertifikat aber auch neu ausstellen lassen (sog. Reissue).

Es müssen alle SHA-1 Zertifikate ausgesellt werden, die nach dem 31.12.2015 ablaufen.

Wie kann man vom SHA-1 aufs SHA-2 wechseln?

Wenn Sie von den oben genannten Terminen betroffen sind, zögern Sie nicht und lassen Sie sich das SSL-Zertifikat mit SHA-2 kostenlos neu ausstellen. Im Kundenprofil können Sie die Option Neu ausstellen einfach im Detail der Bestellung finden.

Wir empfehlen, die Neuausstellung möglichst schnell durchzuführen, bevor der Chrome Browser die oben genannte Sicherheitswarnungen darstellt.

SSLmarket kann Sie beraten

Falls Sie Hilfe brauchen oder Fragen haben, zögern Sie nicht den Kundenservice des SSLmarkets zu kontaktieren. Werfen Sie auch einen Blick in unseren Artikel Umstellung von SHA-1 Zertifikaten - FAQ.

Informationsquelle:

Gradually sunsetting SHA-1, Google Security Blog

SHA1 Deprecation Policy, Microsoft PKI blog