Es ist seit über 10 Jahren kein Geheimnis, dass das für Zertifikate eingesetzte Hash Verfahren SHA1 nicht mehr als sicher anzusehen ist. Bereits vor 10 Jahren war es möglich mit extrem großem Rechenaufwand, und damit auch extrem teurer Hardware, die Hashfunktion zu brechen. Dies zeichnet sich durch die Erzeugung einer neuen Datei mit identischer Prüfsumme aus. In den letzten Jahren wurden die Angriffe auf dieses Verfahren enorm verbessert. Das Herbeiführen einer Kollision zweier Hashwerte ist nun mit erschwinglicher Hardware und in einem Bruchteil der Zeit möglich.

SHA1 Zertifikate werden nach wie vor häufig auf Webservern eingesetzt um einen verschlüsselten Zugriff via https auf die bereitgestellten Webservices zu ermöglichen. Die großen Browserhersteller wie z.B. Microsoft, Google und Mozilla beginnen seit dem 01.01.2017 dem Ganzen einen Riegel vorzuschieben und beenden die Unterstützung für Zertifikate mit einer SHA1 Signatur. Daraus folgt eine Zertifikatswarnung innerhalb des Browsers um den User auf eine Unsichere Verbindung hinzuweisen. Ein Zugriff auf die entsprechende Website ist dennoch möglich, führt aber durch die Fehlermeldung zu einer Verunsicherung der User.

Bis auf ein paar Ausnahmefälle ist es nun an der Zeit SHA1 durch einen neueren und sicheren Hashalgorithmus zu ersetzen. Dies kann bereits durch einen relativ geringen Aufwand an der eigenen Enterprise Zertifizierungsstelle erfolgen. In Frage kommt hierbei die neuere und sicherere Funktion SHA-2 (auch bekannt als SHA256).

 

 

Redakt.: Michael Kasper