Neue SHA-1 Schwachstellen bekannt geworden
Hashing-Kollisionen entstehen, wenn zwei verschiedene Nachrichten oder Zertifikate den gleichen Hash-Wert ergeben
Der Report über die erfolgreichen Freestart Collisions ist eine Erinnerung mehr daran wie wichtig das Upgrade ist, um eine Website sicher zu halten
(05.11.15) - Ein Zusammenschluss von Sicherheitsexperten veröffentlichte einen Bericht zu erfolgreichen "Freestart Kollisionen" auf SHA-1.Diese Art von Kollisionen führt nicht zwangsläufig zu totalen Kollisionen für SHA-1. Allerdings lässt sich jetzt die Wahrscheinlichkeit eines erfolgreichen SHA-1-Angriffs besser einschätzen. Demzufolge wird Website-Administratoren dringend empfohlen noch verbliebene SHA-1-Zertifikate schnellstmöglich auszutauschen.
Hashing-Kollisionen
Hashing-Kollisionen entstehen, wenn zwei verschiedene Nachrichten oder Zertifikate den gleichen Hash-Wert ergeben. Für SHA-1 besteht der Hash aus 160 Bits Forscher machen sich die kryptoanalytischen Fortschritte zu Nutze, was wiederum den Hash schwächt. Die sinkenden Kosten für Rechenleistung erhöht wiederum die Wahrscheinlichkeit den SHA-1-Algorithmus zu knacken praktisch jeden Monat.
Anstehende Deadlines
GlobalSign unterstützt die Richtlinien des CA/B Forums, das allen öffentlich vertraulichen CAs vorgibt ab 31. Dezember 2015 keine SHA-1 SSL-Zertifikate mehr auszustellen. GlobalSign folgt weiteren Branchenempfehlungen (wie zuerst von Microsoft 2013 vorgeschlagen) und vertraut ab Januar 2017 SHA-1-SSL-Zertifikaten nicht mehr.
Wir empfehlen daher allen Kunden ihre SHA-1-Zertifikate noch 2015 zu erneuern oder wieder auszustellen. Der Report über die erfolgreichen Freestart Collisions ist eine Erinnerung mehr daran wie wichtig das Upgrade ist, um eine Website sicher zu halten.
Noch heute upgraden
Sie können Ihr Zertifikat einfach und kostenlos auf den sicheren SHA-256-Algorithmus umstellen. In einem unserer früheren Blogposts haben wir eine schrittweise Anleitung zusammengestellt:
Die 3-Stufen-Strategie: Für eine einfache Migration von SHA-1 auf SHA-2
Falls Sie für ältere Anwendungen auch 2016 noch SHA-1 benötigen bieten wir Ihnen zwei Optionen an:
>> Beantragen Sie noch vor dem 14. Dezember 2015 ein neues SHA-1-Zertifikat. Der 14. Dezember 2015 ist der Stichtag. Danach nimmt GlobalSign keine neuen SHA-1- Bestellungen mehr an.
>> Falls Sie kein öffentlich bestätigtes Vertrauen benötigen ist IntranetSSL das richtige für Sie.
>> Beim Erneuern oder Wiederausstellen Ihrer SSL-Zertifikate bieten RSA-Schlüssel, die länger als 2048 Bits sind, oder ECC-Schlüssel mit 256 oder 384 Bit optimale Sicherheit.
(GMO GlobalSign: ra)
GMO GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.