Wieso sollte ich auf TLS/SSL-Zertifikate mit SHA-2 umsteigen?
Als kompetenter Sicherheitspartner hat DigiCert SHA-256 zum Standard bei allen neuen TLS/SSL-Zertifikaten gemacht. Wir empfehlen unseren Kunden nachdrücklich, von SHA-1-Zertifikaten auf SHA-2-Zertifikate umzusteigen. Der Grund dafür ist einfach: SHA-1 ist unsicher, und zwar schon seit mindestens 2006. Seit 2011 lehnt die US-amerikanische Normierungsbehörde NIST den Gebrauch von SHA-1 ab und seit 2013 darf der Algorithmus nicht mehr für digitale Signaturen verwendet werden. Kryptoanalysten drängen Administratoren seitdem dazu, ihre SHA-1-Zertifikate zu aktualisieren, da die Risiken für diesen Zertifikatstyp größer als zuvor angenommen sind.
Wie finde ich SHA-1-Zertifikate und ersetze sie möglichst schnell?
Die cloudbasierte Discovery-Funktion von DigiCert CertCentral® findet TLS/SSL-Zertifikate mit SHA-1 zügig und ersetzt sie durch kostenlose SHA-2-Zertifikate von DigiCert. Unser Discovery-Tool findet Zertifikate selbst in den komplexesten verteilten Netzwerken. Es stellt verschiedene Scanning-Optionen bereit, sodass sowohl private als auch öffentliche Zertifikate von beliebigen Zertifizierungsstellen (Certificate Authority, CA) erfasst und überwacht werden können.
Das Discovery-Tool bietet zwei Komponenten, dank denen sich Netzwerke gründlich nach TLS-Zertifikaten und SSH-Schlüsseln (Secure Shell) durchsuchen lassen:
- Cloud-Scans: Die schnelle und einfache Möglichkeit, TLS-Zertifikate auf öffentlich zugänglichen Servern zu suchen. Eine Installation ist nicht erforderlich; die Suche kann spontan über die Benutzeroberfläche von CertCentral gestartet werden.
- Netzwerk-Scans: Sämtliche öffentlichen und privaten TLS-Zertifikate in komplexen verteilten Netzwerken werden erfasst. Die gründliche Suche bildet die Grundlage für aussagekräftige Berichte und einen Komplettüberblick über Ihre TLS-Zertifikate und SSH-Schlüssel.
Wann sollte ich auf SHA-2 umsteigen?
Google, Mozilla und Microsoft vertrauen SHA-1-TLS/SSL-Zertifikaten nicht mehr. Websites mit SHA-1-Zertifikaten zeigte Chrome früher auch schon nur mit Warnung an. Administratoren, die noch SHA-1-Zertifikate verwenden, sollten jetzt auf SHA-2 umsteigen.
Im August 2014 machte Google seine Position glasklar: Ab November 2014 würde Chrome Warnungen einblenden, wenn Websites die nicht ausreichend sicheren SHA-1-Zertifikate verwendeten. Die klare Ansage von Google soll SHA-1-Zertifikate schneller und reibungsloser aus dem Verkehr ziehen, als es bei MD5 gelang.
Im Oktober 2015 veröffentlichte ein internationales Team aus Kryptoanalysten einen Forschungsbericht, der Administratoren dringend dazu rät, ihre SHA-1-Zertifikate so bald wie möglich zu aktualisieren, da die Risiken für diesen Zertifikatstyp größer als zuvor angenommen sind. Die Forschungsergebnisse wurden allerdings noch nicht in der Praxis nachgewiesen. Eine unmittelbare Gefahr ist vielleicht nicht zu erwarten, doch auch wir empfehlen Administratoren dringend die schnellstmögliche Umstellung auf SHA-2.
Administratoren sollten die Auswirkungen eines solchen Updates bedenken und Folgendes einplanen:
- Ist die Hardware kompatibel mit SHA-2?
- Unterstützen Serversoftware-Updates SHA-2?
- Unterstützt die Clientsoftware SHA-2?
- Unterstützen die Kundenanwendungen SHA-2?
Browserhersteller und Zertifizierungsstellen rieten schon früh dazu, bis 2017 auf SHA-2 umzustellen, und die Forschung pflichtete ihnen bei: Unternehmen und Organisationen sollten ihre vorhandenen Infrastrukturen schneller SHA-2-fähig machen. Details zu den Veränderungen bezüglich SHA-2 finden Sie in den häufig gestellten Fragen zu SHA-2.