Ab 1.1.2017: SSL-Zertifikate mit SHA-1 Signatur austauschen

Dec 28, 2016 10:00:00 AM

Am Jahreswechsel verabschieden wir uns von den Geistern der Vergangenheit – und damit auch endgültig von SHA-1 signierten SSL-Zertifikaten. Ab dem 1. Januar 2017 akzeptieren die großen Browser nur noch Zertifikate mit neuen SHA-Standards. Überprüfen Sie Ihre Server und tauschen Sie die unsicheren Datensätze jetzt aus.

Das Ende von SHA-1


SHA-1 gilt seit über zehn Jahren als unsicher. Bei dem Hash-Verfahren lassen sich relativ einfach Kollisionen provozieren, die Einfallstore für gefälschte Zertifikate liefern. Zum 1. Januar 2017 werden die großen Browser Zertifikate mit dem alten Algorithmus nicht mehr akzeptieren: Das SSL-Symbol in der Adresszeile wird dann rot durchgestrichen. Das kann zu Unsicherheiten bei Endkunden führen, die daraufhin beispielsweise Checkout-Prozesse abbrechen. Wer noch ein Argument für den Wechsel brauchte, der ist hoffentlich endgültig vom Austausch überzeugt.

Der Austausch des Zertifikates

Auch heute noch nutzen tausende Server das alte Hash-Verfahren. Subdomains, Webmailer und auch VPN-Zugänge selbst von großen Unternehmen arbeiten noch mit SHA-1. Admins können unter folgendem Link ihre Zertifikate testen:
https://www.ssllabs.com/ssltest/index.html
Liegt ein altes Zertifikat vor, zeigt der Test folgende Meldungen an:

  • Signature algorithm SHA1withRSA WEAK
  • Certificate uses a weak signature. Upgrade to SHA2 to avoid Browser warnings.

In diesem Fall melden Sie sich bitte unter Angabe Ihrer Domain an den SysEleven-Support. Wenn Sie kein Kunde von SysEleven sind, wenden Sie sich bitte an den Anbieter, von dem Sie das Zertifikat erworben haben.

You May Also Like

These Stories on Security

Subscribe by Email

No Comments Yet

Let us know what you think