Google Chrome zukünftig ohne SHA-1

Zur sicheren Übertragung von Daten im Internet kommen regelmäßig SSL Zertifikate zum Einsatz. Die Sicherheit der Daten hängt dabei wesentlich von mehreren Faktoren ab, wie z.B. dem zugrundeliegenden Verschlüsselungsalgorithmus, der verwendeten Hashfunktion und Bittiefe. In Punkto Sicherheit steht hierbei der SHA-1 Algorithmus besonders in der Kritik. Bereits im Jahr 2005 wurde der 1995 vorgestellte Standard erstmals als angreifbar deklariert und gilt seit 2010 als unsicher. Dennoch wird er in weiten Bereichen des Internet noch immer eingesetzt, obwohl mit der SHA-2 Familie seit vielen Jahren vier sichere Nachfolger existieren.

Viele kleine Webhoster sowie Mieter von V-Servern und Betreiber von dedizierten Servern verwenden bei der Erstellung von SSL Zertifikatsanforderungen oft aus Unwissenheit den potentiell unsicheren SHA-1 Hash Algorithmus. Es ist also nur zu begrüßen, dass sich Google mit Nachdruck dafür einsetzt, dass SHA-1 verschwindet. Laut StatCounter.com beträgt der Marktanteil von Googles Browser Chrome bei Desktopsystemen über 50% (Quelle, Stand Oktober 2014) und hat innerhalb 12 Monaten fast 10% Marktanteile gewonnen. Das ist eine gute Ausgangsposition für Google um sanften Druck auf Anwender und die Internetindustrie für mehr Sicherheit im Internet auszuüben.

Den langsamen Ausstieg aus SHA-1 hat Google bereits im September bekanntgeben. Aber erst jetzt, mit der Veröffentlichung von Chrome 39, steigt die Aufmerksamkeit der Anwender. Zumindest lassen das die vermehrten Anfragen in Foren und Supporthotlines vermuten. Der stufenweise Ausstieg aus SHA-1 wurde von Google wie folgt festgelegt.

Google Chrome Version 39 (seit 18.11.2014)

  • SHA-1: Gelbes Warndreieck in ChromeSSL Zertifikate, die nach dem 1.1.2017 ablaufen und ein SHA-1 Zertifikat in der Kette (CA, Intermediate, Domainzertifikat) haben, werden als „Sicher mit kleinen Fehlern“ markiert.

Google Chrome Version 40 (ab ca. Anfang Januar 2015)

  • SHA-1: Gelbes Warndreieck in ChromeSSL Zertifikate, die zwischen dem 1.6.2016 und 31.12.2016 ablaufen sowie ein SHA-1 Zertifikat in der Kette (CA, Intermediate, Domainzertifikat) haben, werden als „Sicher mit kleinen Fehlern“ markiert.
  • SHA-1: Neutrale Anzeige in ChromeSSL Zertifikate, die nach dem 1.1.2017 ablaufen und ein SHA-1 Zertifikat in der Kette (CA, Intermediate, Domainzertifikat) haben, werden als „Neutral ohne Sicherheit“ markiert.

Google Chrome Version 41 (ab ca. März 2015)

  • Gelbes Warndreieck in ChromeSSL Zertifikate, die zwischen dem 1.6.2016 und 31.12.2016 ablaufen sowie ein SHA-1 Zertifikat in der Kette (CA, Intermediate, Domainzertifikat) haben, werden als „Sicher mit kleinen Fehlern“ markiert.
  • SHA-1: Rotes Warnkreuz in ChromeSSL Zertifikate, die nach dem 1.1.2017 ablaufen und ein SHA-1 Zertifikat in der Kette (CA, Intermediate, Domainzertifikat) haben, werden als „Definitiv unsicher“ markiert.

Wenn Sie als Anwender auf eine Seite stoßen, bei der das gelbe Warndreieck oder das rote Kreuz erscheint, sollten Sie den Seitenbetreiber darüber informieren, denn viele wissen gar nicht, dass sie ein SHA-1 Zertifikat haben. Gerade bei mehrjährigen Zertifikaten die z.B. für 5 Jahre bezahlt wurden, kann das schnell passieren.

So steigen sie von SHA-1 auf SHA-2 um

Falls Sie als Seitenbetreiber betroffen sind, sollten Sie umgehend einen kostenlosen „Reissue“ für Ihr Zertifikat ausführen und darauf achten, dass Sie einen SHA-256 Algorithmus und eine 2048 Bittiefe verwenden. Dieser wird von allen großen SSL Anbietern unterstützt. Zum Beispiel erkennen GeoTrust und Commodo automatisch die SHA-256 Zertifikatsanforderung, signieren das Zertifikat entsprechend und liefern die passenden SHA-256 Intermediate und CA Zertifikate.

Hostingkunden sprechen hierzu ihren Provider an, der im Regelfall auch das Zertifikat erstellt hat. Wenn Sie Ihren eigenen Server oder V-Server verwalten erstellen Sie eine neue Anforderung und führen den „Reissue“ bei Ihrem SSL Anbieter durch. Ein „Reissue“ kann nur für den gleichen Domainnamen (Common Name) durchgeführt werden. Daher sollten Sie vor der Erstellung prüfen welchen Common Name Sie verwendet haben. Unter Linux mit Open-SSL erstellen Sie ein CSR mit folgendem Befehl:

openssl req -sha256 -nodes -newkey rsa:2048 -keyout mydomain.key -out mydomain.csr

Falls Sie ein neues Zertifikat benötigen, sollten Sie einen Blick auf ssls.com werfen: günstige Preise, schnelle Abwicklung und hervorragender Service. Wer keinen Google Chrome Browser ab Version 39 zur Hand hat und trotzdem wissen möchte ob auf einer Domain noch ein SHA-1 SSL Zertifikat zum Einsatz kommt, kann die Domain online auf sha1affected.com testen.

 

WordPress Experte und SpezialistAls WordPress Entwickler mit 13 Jahren Erfahrung unterstütze ich Unternehmer bei der Erstellung von Applikationen und Webseiten auf der Basis von WordPress. Als WooCommerce Spezialist konzentriere ich mich auf e-Commerce Anwendungen mit WordPress. Auf meiner Know-How Seite erfahren Sie mehr über mich.