Handlungsbedarf: die SHA1 Zertifikate stehen vorm aus

10.11.2016 | Computer, Windows

[Quelle: https://m.heise.de/newsticker/meldung/Admins-aufgepasst-SHA1-Zertifikate-vor-dem-endgueltigen-Aus-3460868.html]

 

Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus

Mittwoch, 12:32
Jürgen Schmidt
Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus
Ab Januar 2017 wird es ernst: die großen Browser werden ab dann richtige Fehlermeldungen anzeigen, wenn sie auf Zertifikate treffen, die eine Signatur mit SHA1 aufweisen. Die sind aber immer noch im Einsatz, wie ein Kurztest von heise Security zeigt.

Seit über 10 Jahren ist bekannt, dass das auch für HTTPS-Zertifikate eingesetzte Hash-Verfahren SHA1 ernste Sicherheitsprobleme aufweist. Nominell ist jetzt der 1.1.2017 der Stichtag für dessen endgültige Beerdigung – zumindest im Web. Mozilla, Google und Microsoft haben angekündigt, dass sie die Unterstützung dann beenden und den Anwendern im Browser-Fehlermeldungen präsentieren werden, wenn sich eine Web-Seite mit einer SHA1-Signatur ausweist. Doch allein in Deutschland verwenden noch rund 30.000 Server SHA1-Zertifikate für https-Verbindungen.

Mozilla hatte bereits Anfang des Jahres einen Anlauf zur Ächtung von SHA-1 genommen, musste dann aber wegen großer Umstellungsprobleme zurückrudern. Einen softeren Umstiegspfad wählte Google. Chrome zeigt bereits jetzt das Schloss-Symbol in der Adresszeile anders an und weist in den Verbindungs-Details auf das Problem mit SHA1 hin; Microsoft entfernt das Schlosssymbol in aktuellen Browser-Versionen. Doch in Zukunft werden alle Browser den Verbindungsaufbau zu einer sicheren HTTPS-URL hart unterbrechen und dem Anwender eine Zertifikatswarnung präsentieren. Das dürfte anders als das zumeist ignorierte Schloss-Symbol zu ernster Verunsicherung bei den Anwendern führen.

Gnadenfrist für Firmen-CAs

Bisher gibt es nur Warnungen — ab Januar wird es ernst: da präsentieren alle Browser Fehlermeldungen, wenn sich eine Web-Seite mit einem SHA-1-Zertifikat ausweist. Bisher gibt es nur Warnungen — ab Januar wird es ernst: da präsentieren alle Browser Fehlermeldungen, wenn sich eine Web-Seite mit einem SHA-1-Zertifikat ausweist. Der Umstieg wird nicht scharf zum 1. Januar. erfolgen, sondern mit Browser-Updates in den Wochen und Monaten danach ausgerollt, erklären die Browser-Hersteller einheitlich. Die genaue Timeline ist noch etwas im Fluss, allgemein ist jedoch von Mitte bis Ende Januar beziehungsweise bie Microsoft sogar Februar die Rede. Außerdem wird es zumindest für eine Übergangsfrist Ausnahmen für selbstsignierte und solche Zertifikate geben, die von einer lokalen Firmen-CA ausgestellt wurden. Die harte Linie gilt vorerst nur für Zertifikate von CAs, die mit dem Browser ausgeliefert werden. Wer in der Liste übrigens Apple vermisst: Es war uns bisher nicht möglich, Informationen zu Apples weiterem Vorgehen bezüglich SHA1 aufzutreiben.

Über 1 Million Server betroffen

Ein kurzer Test von heise Security mit Censys zeigte auf, dass Admins da durchaus noch Arbeit bevorsteht. Weltweit sind noch deutlich über 1 Million Zertifikate mit SHA1-Signatur im Einsatz – gezählt haben wir dabei nur die, die von einer offiziellen CA unterschrieben sind. In Deutschland fanden wir immer noch knapp 30.000 aktive HTTPS-Sites mit SHA1-Zertifikaten, darunter sogar solche von Banken und großen Software-Firmen: Das Gros der Treffer entfiel jedoch auf kleine und mittelständische Unternehmen. In aller Regel waren nicht die zentralen Domains betroffen, sondern Unter-Domains etwa von einzelnen Abteilungen oder Projekten. Auffällig viele Webmail- und VPN-Zugänge entschlüpften offenbar der Administration.

Ebenfalls problematisch könnten interne Systeme wie Web-Filter oder AV-Lösungen werden, die TLS-Verbindungen öffnen und dazu on-the-Fly Man-in-the-Middle-Zertifikate erstellen. Dies wird etwas entschärft durch die verlängerte Gnadenfrist für im Browser installierte Firmen-CAs.

Das heise-Security-Webinar zum Thema TLS/SSL
Das heise-Security-Webinar zum Thema TLS/SSL Admins sollten jedenfalls dieses Jahr noch ihren gesamten Zertifikats-Zoo eingehend untersuchen und alle SHA1-Zertifikate umgehend durch solche mit SHA256 ersetzen. Einen einfachen Test, der auf problematische Zertifikate hinweist, bieten die SSL-Labs von Qualys an. Die Probleme mit SHA1, TLS-Erweiterungen wie HSTS, Public Key Pinning und was uns die bevorstehende Version TLS 1.3 noch so alles beschert, sind übrigens zentrale Punkte meines Webinars zu Mehr als nur Verschlüsseln – SSL/TLS richtig nutzen am nächsten Mittwoch, den 16.November. Es sind noch Plätze frei 😉

Weitere aktuelle Informationen der Hersteller:

Mozilla: Phasing Out SHA-1 on the Public Web
Google: A further update on SHA-1 certificates in Chrome
Microsoft: An update to our SHA-1 deprecation roadmap
(ju)

Effizienter IT-Support durch unser technisches Backoffice

Erhalten Sie effiziente IT-Service durch unser technisches Backoffice – Ihr zuverlässiger IT-Dienstleister für IT-Support, Infrastruktur, Sicherheit und Wartung. Profitieren Sie von unserer technischen Hotline, unseren Lösungen und einer sehr guten Reaktionszeit für minimale Ausfallzeiten und maximale Kundenzufriedenheit.

Netzleiter & Techiota: 2 Partner für IT Service und maßgeschneiderte Web-Lösungen

Die Netzleiter GmbH & Co. KG ist mehr als nur ein etabliertes IT Systemhaus – wir sind Ihr Partner für umfassende IT-Lösungen. Mit der unabhängigen Ausgründung Techiota haben wir unser Profil geschärft und die Schwerpunkte neu definiert, um unser Serviceangebot...

Lithium-Ionen-Akku richtig behandeln: Tipps für maximale Lebensdauer

Erfahren Sie, wie Sie Ihren Lithium-Ionen-Akku richtig behandeln, um seine Lebensdauer zu maximieren. Erfahren Sie, warum die richtige Handhabung wichtig ist und erhalten Sie praktische Tipps zum Aufladen und zur Vermeidung von Überhitzung.

Passwortmanager für Unternehmen: Pleasant Password-Server 2023

Erfahren Sie, warum die Verwendung eines Passwortmanagers unerlässlich ist und wie dieser Ihre Passwortsicherheit verbessern kann. Lesen Sie unseren Artikel von Netzleiter und entdecken Sie, wie Sie durch die Verwendung von sicheren Passwörtern, Master-Passwort und Datenverschlüsselung Ihr Unternehmen vor unbefugtem Zugriff schützen können. Pleasant Passwortmanager mit Netzleiter

Cybersicherheit: EU verpflichtet Unternehmen zu höherem Schutz vor Cyberangriffen

Cybersicherheit ist ein wichtiger Faktor im digitalen Zeitalter. Als IT-Dienstleister bietet Netzleiter umfassende Lösungen und Dienstleistungen für Unternehmen und Organisationen, um ihre Daten und Systeme sicher zu schützen. Unser Team verfügt über fundierte Fachkenntnisse und jahrelange Erfahrung im Bereich der Cybersicherheit, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihre Cybersicherheit zu verbessern.

Candis: Die digitale Rechnungserfassung und Freigabe für Unternehmen

Candis revolutioniert die Buchhaltung für Unternehmen. Mit der digitalen Rechnungsfreigabe, OCR-Erkennung und automatischem Import wird die Buchhaltung einfach, schlank und effektiv. Netzleiter, Ihr Experte für Digitalisierung, unterstützt Sie bei der Umsetzung.

iPhone fragt nach 6-stelligen Kennwort, den ich nie eingestellt habe? So geht’s

Ihr iPhone fragt nach 6-stelligen Kennwort? Diesen Passcode haben Sie nie eingestellt ? Geraten Sie nicht in Panik! Ihr iPhone hat den Code einfach um die letzte Ziffer um zwei Ziffer verlängert.

Qualifizierte elektronische Signatur (QES): Ihr Einstieg in die digitale Signatur

Die qualifizierte elektronische Signatur ist in der EU-Verordnung eIDAS beschrieben. Wir beraten Sie gerne zu diesem Thema. Nutzen Sie auch die Möglichkeit einer staatlichen Förderung um die digitalen Signaturen in Unternehmen einzuführen.

Passwörter der Zukunft

Ein Passwortmanager ist ein Tool, das es ermöglicht, alle Passwörter sicher an einem Ort zu speichern und mit einem Master-Passwort auf sie zuzugreifen. Apple, Microsoft und Google haben neue Standards für Passwörter eingeführt, um die Sicherheit zu verbessern, wie Face ID, Touch ID, „passwordless phone sign-in“ und Google-Kontoschlüssel. Der FIDO Standard soll die Passwortverwendung reduzieren, indem biometrische Authentifizierung und sichere Hardware-Tokens verwendet werden.

Künstliche Intelligenz nutzen mit OpenAI

Künstliche Intelligenz (KI) kann schnell und präzise Entscheidungen treffen, menschliche Fehler minimieren und Prozesse automatisieren, was Zeit und Ressourcen sparen kann. KI kann auch in komplexen Bereichen wie der Diagnose von Krankheiten oder der Vorhersage von Naturkatastrophen nützlich sein.