Na wie geil ist das denn Bitte? Das SHA1 nicht der Brüller ist wissen wir ja inzwischen alle. Das man nicht (wie bei MD5) so lange warten sollte bis es nicht nur ein theoretisches Problem, sondern ein echtes gibt… Ja, das können sich viele denken. Leider bekommt man viel „Entscheider“ nicht so einfach davon überzeugt, denn es hängt meist viel Geld an so einer Entscheidung. Ggf. müssen ja Softwaremodule getauscht werden, Hardware könnte ersetzt werden müssen usw. usw.. Windows XP wird so zum Beispiel abgehängt!
Denn noch überrascht mich Google in der letzten Zeit immer mal wieder hinsichtlich irgendwelcher Sicherheitsgeschichten. So nun ebenfalls wieder mit der Ankündigung, dass sie SHA1 aus ihrem Browser haben wollen. Nutzt man also Zertifikate mit SHA1 Checksumme, gibt es bald eine Meldung im Browser. Diese Meldung wird dem Anwender vermitteln: „Diese Seite ist nicht ganz sicher!“. Direkt gefolgt von einer deutlichen roten Meldung bis hin zum Punkt dass solche Zertifikate nicht mehr unterstützt werden sollen. Dieses erst so ab ca. 2017… Wenn man aber nun über die durchschnittliche Gültigkeitsdauer von „Kaufzertifikaten“ (2 Jahre) ausgeht… Tja, dann kann man so gesehen zum letzten mal mit ~gutem Gewissen~ ein SHA1 Zertifikat am 31.12.2014 kaufen. OK, man kann natürlich zu jeder Zeit ein neues Zertifikat mit SHA256 Checksumme erstellen, dieses kostet dann aber auch wieder Geld. Man kann sich also jetzt überlegen ob man zwei mal Geld bezahlen möchte oder nicht!
http://googleonlinesecurity.blogspot.de/
Was mir an Google so gefällt, ist dass sie im Moment immer mal wieder „sanften“ Druck auf die Entscheider ausüben um doch etwas mehr Sicherheit ins Internet zu bringen. SHA1 ist Käse, als Checksumme im Zertifikat oder in den Ciphern, genau wie RC4, MD5 oder ähnliches. Kein Anwender wird dieses von sich aus prüfen und kein Anwender wird dieses von sich aus in Frage stellen. Beginnt die Anwendungssoftware zu moppern… Dann gibt es schnell eine gewissen „Nachfrage“ und somit Bewegung bei den Entscheidern oder den „weiter ==> weiter ==> fertigstellen Admins“.
Oh ja, Microsoft sowie Mozilla hegen sehr ähnliche Pläne! Ich habe das Thema ja schon einmal vor knapp einem Jahr aufgegriffen ( 27. September 2013). Sicheres SSL / TLS Zertifikat
Meine Empfehlung ist also: „Testen ob ihr/eure Systeme mit SHA256 Zertifikaten umgehen können und vor den nächsten Kauf entscheiden, ob es wirklich noch mal ein SHA1 Zertifikat werden soll oder nicht..“!
Nur, wer hört schon auf mich? 😛
Na schau mal einer an…. Inzwischen „zucken“ sogar die großen CAs:
Wichtiger Servicehinweis
Sehr geehrte/r Sebastian van de Meer,
Sie haben vielleicht bereits gehört, dass Google beabsichtigt, die Unterstützung für SSL-Zertifikate mit dem Hash-Algorithmus SHA-1 einzustellen. Als erster Schritt ist geplant, die Vertrauenszeichen im Browser Chrome™ abzuschwächen und Warnmeldungen anzuzeigen, wenn eine Website mit einem solchen Zertifikat aufgerufen wird. Das wird voraussichtlich ab der Version 39 von Chrome geschehen, die für November 2014 geplant ist. Weitere Informationen sind in diesem Google-Blog erhältlich (auf Englisch). Symantec empfiehlt, dass Sie proaktiv die folgenden Maßnahmen ergreifen, um zu verhindern, dass Besucher diese abgeschwächten Vertrauensmarken oder Warnmeldungen sehen, wenn sie Ihre Website in Chrome 39 aufrufen:
1. Nutzen Sie die SSL Toolbox, um herauszufinden, welche Ihrer Zertifikate SHA-1 nutzen.
2. Ersetzen Sie Zertifikate mit SHA-1, die nach dem 31. Dezember 2015 ablaufen, kostenlos durch Zertifikate mit SHA-2. Weitere Informationen dazu finden Sie in Artikel SO7146 in unserer Knowledge Base (auf Englisch).
Hinweis: Root-Zertifikate mit SHA-1 sind nicht von dieser Änderung betroffen.
Weitere Informationen finden Sie unter:
• Symantec-Informationsseite zu SHA-1
• Symantec Community Forum: Website-Sicherheitslösungen (auf Englisch)
Falls Sie noch weitere Fragen haben, wenden Sie sich bitte unter der Adresse ssltechsupport_de@symantec.com an Ihr Support-Team oder setzen Sie sich mit Ihrem Account Manager in Verbindung.
Mit freundlichen Grüßen
Ihr Support-Team von
Symantec Website Security Solutions
##############################################################################################################################
Important Service Announcement
Dear Sebastian,
We would like to inform you of Google’s intent to phase out support for certificates using a SHA-1 hashing algorithm via degraded visual indicators and warnings in the Chrome™ browser. These changes are expected to take effect in the production version of Chrome version 39 in November 2014. You can find more information regarding the proposed plan on Google’s blog.
As a proactive measure, in order to help ensure that Chrome 39 users visiting your websites do not encounter any UI degraded indicators, Symantec recommends the following:
1. Identify certificates that have a SHA-1 algorithm using the Thawte Certificate Center or SSL Toolbox. For more information, please refer to Knowledge Center article SO26488.
2. Replace any SHA-1 certificates that expire beyond December 31, 2015 with SHA-2 certificates at no additional cost. For more information, please refer to Knowledge Center article SO13487.
Please note that SHA-1 root certificates will not be affected by the plan.
Here are some additional resources for your reference:
• Guidelines for Replacing SHA-1 certificates with SHA-2 on Thawte Trust Center
If you have additional questions, please contact your support team at
support@thawte.com.
Best regards,
Thawte Team
