Bevor der Online-Shop nicht mehr erreichbar ist: SHA-1 Zertifikate rechtzeitig auf SHA-2 umstellen!

Wenn aktuelle Standards unsicher werden, ist es an der Zeit, sie durch Nachfolger abzulösen. So auch der veraltete Hash-Algorithmus SHA-1 bei SSL-Zertifikaten. Seit langem gilt der bereits als unsicher und wird derzeit durch den Nachfolger SHA-2 ersetzt.

Spätestens, wenn der Online-Shop nicht mehr oder nur noch für einen Teil der Kunden erreichbar ist, sollten Webseiten-Betreiber schnellstmöglich auf SHA-2 signierte SSL-Zertifikate umsteigen. Dann nämlich kann es sein, dass der Shop beziehungsweise die Webseite von Webbrowsern bereits blockiert wird. „Tatsächlich stufen einige Browser Webseiten mit SHA-1 signiertem SSL-Zertifikat bereits als unsicher ein. Für Online-Shops ist das fatal, denn es geht ja zulasten des Umsatzes“, bringt es Christian Heutger, Geschäftsführer der psw-group, auf den Punkt.

Bevor der Online-Shop nicht mehr erreichbar ist: SHA-1 Zertifikate rechtzeitig auf SHA-2 umstellen!
Bevor der Online-Shop nicht mehr erreichbar ist: SHA-1 Zertifikate rechtzeitig auf SHA-2 umstellen! 1

SHA ist ein Hashalgorithmus, der die Integrität von SSL/TLS- bzw. auch von Code Signing-Zertifikaten sicherstellen soll. Er ist mit einem menschlichen Fingerabdruck vergleichbar und bildet damit eine fast eindeutige Kennung von größeren Datenmengen. „Werden verschlüsselt transferierte Daten abgefangen und manipuliert, so ändert sich der Hashwert, also die Prüfsumme, und Nutzer erkennen, dass die Daten auf ihrem Versandweg manipuliert wurden“, erklärt Heutger.

Der IT-Sicherheitsexperte macht darauf aufmerksam, dass sich in Sachen Sicherheitswarnung Google Chrome besonders streng verhält: Der Browser zeigt bereits seit Anfang 2016 deutlich bei SHA-1-signierten SSL-Zertifikaten von öffentlichen Zertifizierungsstellen einen Zertifikatsfehler an. Ab Januar 2017 wird Google Chrome keine SHA-1-Zertifikate mehr akzeptieren.

Microsoft wird erst mit dem Anniversary-Update für Windows 10 SHA-1-verschlüsselte Websites als unsicher darstellen. „Es ist etwas schade, dass dies ausschließlich durch das verschwindende Schlosssymbol in der Adressleiste geschehen soll, denn Google warnt deutlich offensichtlicher mit rotem Kreuz und rot durchstrichener HTTPS am Anfang der Adresszeile“, so Christian Heutger. Immerhin möchte sich Microsoft zum Jahreswechsel anschließen: Nutzer von Explorer und Edge werden dann aktiv auf die Unsicherheit der Website hingewiesen.

Bislang inkonsequent verhält sich Mozilla mit seinem Browser Firefox: Ab Januar 2016 sollte SHA-1 nicht mehr vertraut werden. Jedoch hatten zahlreiche Nutzer Probleme mit der Ausmusterung der Zertifikate in Firefox 43, so dass Mozilla SHA-1 Zertifikate bis dato wieder aktiviert hat.

Shop-Betreiber sollten allerdings nicht erst bis 31. Dezember dieses Jahres warten. Bis dahin dürfen SHA-1-Zertifikate nämlich noch verteilt werden. „Forschern ist es bereits gelungen, so genannte Kollisionsangriffe auf SHA-1 praktisch durchzuführen. Es ist nur noch eine Frage der Zeit, bis auch Cyberkriminelle diesen Hashalgorithmus knacken und somit Daten, die vom Kunden zum Online-Shop übertragen werden, manipulieren können“, Christian Heutger. Sein Tipp: „Shop-Betreiber sollten nur noch SHA-2 Zertifikate erwerben. Viele namhafte Zertifizierungsstellen, darunter Comodo, GeoTrust, Symantec und GlobalSign, geben SHA-2-Zertifikate aus.“ Wer im Besitz eines noch gültigen SHA-1 Zertifikats ist, sollte es bei seinem Provider tauschen. Auch Kunden der PSW GROUP können ihr unsicheres SHA-1 Zertifikat kostenlos in ein SHA-2-Zertifikat umtauschen.