|
|
HostSuche.de | > Aktuelle News & Infos |
27.11.2014 | PSW GROUP GmbH & Co. KG |
| [Alle Meldungen des Anbieters] - [Newsletter] - [Newsflash] |
| SHA-2 löst SHA-1 ab: Sukzessive Umstellung der SSL-Zertifikate |
| SHA-2 löst SHA-1 ab: Sukzessive Umstellung der SSL-Zertifikate hat begonnen |
| Fulda, 11.11.2014 – SSL-Zertifikate, die mit dem Hash-Algorithmus SHA-1 signiert wurden, werden künftig von Betriebssystemen und Webbrowsern als nicht mehr sicher eingestuft. „Wir empfehlen deshalb Webseiten-Betreibern die Umstellung schnellstmöglich, spätestens jedoch bis zum 31.12.2016. Betroffen sind sämtliche Zertifikate, deren Gültigkeit über den 31. Dezember 2016 hinausgeht und die mit SHA-1 erstellt wurden“, rät Christian Heutger, Geschäftsführer der PSW GROUP.
Diese CAs, Betriebssysteme und Webbrowser stellen bereits um:
Die Deadline für SSL-Zertifikate, die auf dem kryptografischen SHA-1-Hash-Algorithmus basieren, läuft zwar erst am 1. Januar 2017 ab, die sukzessive Umstellung auf SHA-2-Zertifikate hat jedoch bereits begonnen. Während Mozilla erst ab dem 01.01.2017 vor Webseiten, die SHA-1-Zertifikate verwenden, warnt, stuft Google bereits mit der diesen November erscheinenden Browserversion Chrome 39 Webseiten mit SHA-1-Zertifikaten, deren Gültigkeit am oder nach dem 01.01.2017 endet, als “secure, but with minor errors” ein. Optisch wird dies mit einem gelben Dreieck vor dem Schloss in der Adressleiste gekennzeichnet sein. Die Zertifizierungsstellen (CAs) GlobalSign sowie Comodo haben bereits sämtliche Zertifikate, die mittels SHA-1 signiert wurden, auf eine maximale Gültigkeitsdauer von 1 Jahr beschränkt. Symantec hingegen möchte schrittweise umstellen und Plattformen, Browser sowie Betriebssysteme berücksichtigen, die Probleme mit SHA-2 haben.
Microsoft wird SHA-1-Zertifikate noch bis zum 31.12.2016 zusammen mit Windows zulassen. Eine Ausnahme bilden SHA-1-Zertifikate für Windows Code Signing: Diese können nur noch bis zum 31.12.2015 verwendet werden. Ab dem 01.01.2017 wird es nicht mehr möglich sein, unter Windows SHA-1-signierte Server-, Nutzer- oder Sub-CA-Zertifikate zu nutzen.
SHA-2-Inkompatibilität: Dualbetrieb mit SHA-1 und SHA-2 möglich
Der Full-Service Provider mit Schwerpunkt auf der IT-Sicherheit bietet bereits seit einigen Monaten SHA-2-Zertifikate an und tauscht diese jetzt auch kostenlos gegen SHA-1-Zertifikate. Weiterhin können jedoch auch SHA-1-Zertifikate mit einer maximalen Laufzeit von einem Jahr erworben werden. „Für Webseiten-Betreiber, die Besucher nicht ausschließen möchten, deren Systeme SHA-2-inkompatibel sind, empfehlen wir den Dualbetrieb beider Zertifikate an. Der Parallelbetrieb ist aktuell nur auf dem Apache-Server möglich. Nach Austausch des Zertifikats bleibt das bisherige SHA-1-Zertifikat parallel zum neuen SHA-2-Zertifikat aktiv“, erklärt Heutger.
Er weist darauf hin, dass diese Inkompatibilität insbesondere Windows Server 2003 und Windows Server 2008 (R2) betrifft. Nach dem Einspielen von Hotfixes können SHA-2-Zertifikate jedoch fehlerfrei verwendet werden. Wer bei Windows XP das SP3 installiert, werde mit den Hash-Funktionen SHA-256, SHA-384 und SHA-512 keine Probleme haben. Probleme mit der E-Mail-Verifikation und dem -Versand könnten sich auch bei Outlook 2003/2007 unter Windows XP SP3 ergeben: SHA-2-signierte E-Mails können nicht verifiziert oder versendet werden. Ab Outlook 2007/ Vista ist SHA-2-Support wieder gegeben. „Auch Mozilla Thunderbird 24 unter Windows XP SP3 wird SHA-2-signierte E-Mails nicht verifizieren können. Der Versand von E-Mails bleibt noch abzuwarten, allerdings gab es mit SHA-1 bereits generelle Versandprobleme. Und bei IBM Notes 9 ist der SHA-2-Support zwar grundsätzlich vorhanden, die Verifikation signierter E-Mails bereitet allerdings Probleme“, informiert Christian Heutger. |
| Weitere Informationen finden Sie unter | http://www.psw-group.de/blog |
|
| [Alle Meldungen des Anbieters] - [Newsletter] - [Newsflash] |
|
| Presseservice: Die obigen Pressemitteilungen geben wir unverändert an Sie weiter. Die jeweiligen Mitteilungen liegen ausschließlich in der rechtlichen Verantwortung des jeweiligen Anbieters.
| |