Das wirkliche Ende von SHA-1 steht vor der Tür

(29. 12. 2015) Das Ende des SHA-1-Alghoritmus in den SSL-Zertifikaten wird schon seit dem Jahre 2011 besprochen. Nun wird es Wirklichkeit und deshalb möchten wir Ihnen die wichtigsten Informationen in Erinnerung bringen.

Ab 1. 1. 2016 können SHA-1-Zertifikat nicht mehr ausgestellt werden

Zusammen mit diesem Jahr endet auch die Möglichkeit, ein Zertifikat mit einer SHA-1-Signatur zu erwerben. Wir empfehlen Ihnen, vor dem letzten diesjährigen Tag Ihre Server noch einmal zu überprüfen, damit Sie keine unangenehme Überraschung erleben.

Falls Sie Ihr bestehendes SHA-1-Zertifikat verlängern möchten, haben Sie dafür nur bis zum Jahresende Zeit – die Gültigkeitsdauer des neuen Zertifikats wird dann 12 Monate betragen.

Die Frist für die Ausstellung mit SHA-1 wird für normale Benutzer nicht verlängert. Eventuelle Ausnahmen werden nur Facebook oder Cloudflare betreffen.

Ende der Unterstützung in Browsern

Da den Browsern viel an der Sicherheit ihrer Benutzer liegt, bemühen sie sich um eine Beschränkung von SHA-1-Zertifikaten und schwachen Verschlüsselungen. Die größten Browser-Hersteller reagieren auf die endende Unterstützung von SHA-1 folgendermaßen:

  • Chrome in der Version 48 wird einen Zertifikatsfehler anzeigen, wenn das Zertifikat:
    1. mit SHA-1 signiert worden ist
    2. am 1. 1. 2016 oder später ausgestellt worden ist
    3. von einer öffentlichen CA herausgegeben worden ist
    Chrome wird auch RC4-Codier Suiten nicht mehr unterstützen. Das vollkommene Ende der Unterstützung von SHA-1 wird am 1. 1. 2017 erfolgen.

  • Microsoft hat vor, SHA-1 in seinen Produkten ab dem Jahre 2017 zu blockieren, erwägt aber auch, den Termin auf Mitte des nächsten Jahres zu ändern. Ebenfalls beendet der Hersteller die Unterstützung von RC4 im Internet Explorer im Windows 7, 8.1 und 10 (in EDGE wurde diese Maßnahme bereits getroffen).

  • Mozilla wird in Firefox alle Verbindungen mit SHA-1-Zertifikaten ab 1. 1. 2017 als „Untrusted connection“ einstufen. Dieselbe Fehlermeldung wird der Browser bei den Zertifikaten anzeigen, die nach 1. 1. 2016 ausgestellt worden sind. Diese Meldung kann in Firefox 43 nicht behoben werden.

    RC4 wird von dem Browser in Firefox 44 blockiert; diese Version sollte Ende Januar herausgegeben werden.

  • Genau wie Microsoft denkt Mozilla über die Möglichkeit nach, die Unterstützung von SHA-1 schon im Jahre 2016 zu beenden.

Beim SSLmarket können Sie Ihr Zertifikat jederzeit kostenlos upgraden

Eine Verlängerung oder Neuausstellung des Zertifikats (mit SHA-2) können Sie jeder Zeit und automatisch in Ihrem Kundenkonto beantragen. Bei aufkommenden Fragen steht Ihnen natürlich unser Kundenservice gerne zur Verfügung.