Sichere Website ab dem 01.01.2017: SHA-1-Zertifikate vor dem Aus

Ab dem 1. Januar 2017 werden Webseiten, die noch SHA-1-Zertifikate verwenden, von den gängigen großen Browsern – Mozilla Firefox, Google Chrome und Microsofts Edge – abgestraft. User, die solche Seiten besuchen wollen, erhalten dann eine richtige Fehlermeldung, was zu erheblicher Verunsicherung bei den Usern führen wird. Webseiten-Betreiber sollten deshalb schnellstmöglich auf SHA-2-Zertifikat umstellen.

Mit dem Jahreswechsel kommt für Webseiten-Betreiber auch der „Zwangswechsel“ von SHA-1 auf SHA-2. Wer zum 01. Januar noch die dann veralteten SHA-1-Zertifikate verwendet, wird ein böses Erwachen haben. Die großen Browser (Mozilla Firefox, Google Chrome und Microsofts Edge) haben einhellig angekündigt,  dass sie deren Unterstützung beenden und den Usern im Browser Fehlermeldungen präsentieren werden, wenn sich eine Webseite mit einer SHA-1-Signatur ausweist. Wie heise.de berichtet, verwenden aktuell noch immer über 30.000 Server SHA-1-Zertifikate für https-Verbindungen. Es gibt also noch einiges vor dem Stichtag zu tun.

SHA-2 mit 256 Bit-Fingerabdruck versehen

Bei SHA-1 handelt es sich um einen Algorithmus, der bereits seit 1995 als Standard für abgesicherte Verbindungen gilt. Bei SHA-1 werden Mitteilungen mit einem 160-Bit-Fingerabdruck versehen. Was vor mehr als 20 Jahren noch ausreichend für eine sichere Verbindung war, ist beim heutigen Stand der Technik veraltet und bietet nur noch bedingt Schutz. Deswegen setzt die SSL-Branche schon seit längerem auf SHA-2. Nach Angaben vom Websicherheitsberater ssl247 setzt sich diese aus einer Reihe von Hashfunktionen zusammen, wobei die am häufigsten verwendete Hashfunktion die SHA-256 ist. Entsprechend kann man sagen: SHA-2 = SHA-256. Prinzipiell arbeitet der SHA-2-Algorithmus in gleicher Weise wie SHA-1, jedoch werden Mitteilungen mit einem längeren Fingerabdruck (256 Bit) versehen. Der längere Fingerabdruck resultiert in mehr Schutz und Sicherheit online.

Wie bereits erklärt, haben Mozilla, Google und Microsoft angekündigt, die Unterstützung für SHA-1 zu beenden. Dabei ist das nicht unbedingt was Neues. Bereits Anfang 2016 hatte Mozilla damit begonnen, SHA-1 abzuschalten. Allerdings kam es damals zu erheblichen Problemen, weswegen ein entsprechendes Firefox-Update die Änderung rückgängig gemacht hat. Ohnehin läuft bei sämtlichen Browsern bereits ein softer Übergang. Bei Chrome wird beispielsweise jetzt schon das Schloss-Symbol in der Adresszeile anders angezeigt und weist in den Verbindungs-Details auf das Problem mit SHA-1 hin. Microsoft entfernt das Schlosssymbol in aktuellen Browser-Versionen sogar komplett. Ab dem 01. Januar wird es jedoch nach heise.de eine harte Unterbrechung beim Verbindungsaufbau zu einer sicheren HTTPS-URL geben. Usern wird dann eine Zertifikatswarnung angezeigt, die bei den Nutzern zu Verunsicherung führen dürfte.

Ausnahmen für selbstsignierte Zertifikate

Sollte Unsicherheit darüber herrschen, welches Zertifikat aktuell verwendet wird, kann dies einfach über den Test des SSL-Labs von Qualys herausgefunden werden. Auch wenn der 01. Januar als Stichtag angesetzt ist, ist davon auszugehen, dass der Umstieg eher soft verlaufen wird. Das heißt, dass erst nach entsprechenden Browser-Updates SHA-1-Zertifikate nicht mehr unterstützt werden. Die Umstellung kann bis Februar dauern – je nachdem, wie schnell die Updates der Browser ausgerollt werden. Weiterhin wird es für eine Übergangsfrist Ausnahmen für selbstsignierte und solche Zertifikate geben, die von einer lokalen Firmen-CA ausgestellt wurden. Die harte Linie gilt vorerst nur für Zertifikate von CAs, die mit dem Browser ausgeliefert werden.

Online-Händlern und Webseiten-Betreibern sei dringend geraten, ihre Zertifikate zu überprüfen, denn wie sich herausstellt, gab es in Deutschland Mitte November noch immer knapp 30.000 aktive HTTPS-Sites mit SHA-1-Zertifikaten. Davon betroffen waren vor allem kleine und mittelständische Unternehmen. Wie Heise angibt, sind dabei nicht immer die zentralen Domains betroffen, sondern Unter-Domains. Website-Betreiber, die feststellen, dass sie noch nicht über ein SHA-2-Zertifikat verfügen, sollten sich zeitnah an ihren Provider wenden und nachfragen, wie die Umstellung verlaufen soll.