Digitaler Vertrauensbeweis: Das Ende für SHA-1 steht vor der Tür

Wenn Anfang des nächsten Jahres die größten Browseranbieter SHA-1 die Unterstützung entziehen, könnten viele Webseitenbetreiber vor einem gewaltigen Problem stehen. Denn noch immer benutzt rund ein Drittel das veraltete und unsichere SSL-Zertifikat.

Ab Januar entziehen viele Browser-Anbieter SHA-1 das Vertrauen
(Foto: Venafi)

Für die große Zahl der Webseitenbetreiber und Unternehmen, die noch immer auf Signaturen mit dem Secure Hash Algorithm SHA-1 setzt, wird die Zeit allmählich knapp. Denn schon im Januar des nächsten Jahres werden die Browser Mozilla Firefox und Google Chrome ihre Unterstützung für das anfällige SSL-Zertifikat abschalten. Im Februar folgen dann die Microsoft-Browser Internet Explorer und Edge sowie Apples Safari. Webseiten und -services, die dann noch SHA-1-Signaturen nutzen, werden bei den Nutzern dieser Browser dann nicht mehr geladen. Stattdessen bekommen sie eine Warnung angezeigt, ob sie die damit verbundenen Risiken ignorieren und die Webseite trotzdem aufrufen wollen. Und diese Gefahren sind durchaus real, wie Kevin Bocek, Chief Security Strategist beim Sicherheitsanbieter Venafi, warnt: »SHA-1 Zertifikate im Einsatz zu belassen, kommt einer offenen Tür für Einbrecher gleich – Man weißt den Cyberkriminellen geradezu einen garantieren Weg zum Erfolg«. Security-Experten haben bereits vor Jahren bewiesen, dass sich jede mögliche Passwort-Variante für SHA-1 mit einem entsprechend ausgestatteten Password Cracking-Server innerhalb von weniger als einer Stunde ermitteln lässt. In den vergangenen Jahren gab es bereits mehrere große Attacken, die diese Schwachstellen ausgenutzt haben, beispielsweise der Datenklau beim Karrierenetzwerk LinkedIn.

Nach einer aktuellen Einschätzung von Venafi auf Basis von Statistiken der Browseranbieter nutzen aber weltweit noch immer 35 Prozent der Webseiten und –Server unsichere SHA-1-Zertifikate. Darunter befinden sich auch einige Großunternehmen, aber vor allem die Auftritte mittelständischer Unternehmen sowie kleinere Onlineshops, für die eine verpasste Umstellung besonders drastische Folgen haben dürfte. Sie müssen neben Umsatzrückgängen auch mit einem erhöhten Support-Aufkommen verunsicherter Nutzer rechnen. Hinzu kommen Imageschäden, wenn die Kunden sehen, dass die Verbindung zum Anbieter nicht mehr vertrauenswürdig ist, oder Onlinedienste durch die Umstellung gar komplett ausfallen.

Zwar steht ihnen mit der neueren SHA-2-Familie (SHA-224, SHA-256, SHA-384 und SHA-512) schon seit mehr als zehn Jahren eine deutlich sicherere Alternative zur Verfügung, allerdings haben viele Betroffene die Umstellung zu lange aufgeschoben. Bei mehreren tausend Schlüsseln, die ein durchschnittliches Unternehmen nutzt, muss die Migration auf den neuen Standard gut vorbereitet sein und kann nicht im Januar im Hauruck-Verfahren erfolgen. Nur allzu gerne vergessen Administratoren dabei zudem, dass die Umstellung auch viele interne Seiten wie Subdomains einzelner Abteilungen und Projektgruppen und auch Webmail- und VPN-Zugänge betrifft. Denn nach einer Übergangsfrist werden die Browseranbieter auch selbstsignierte und lokale Firmen-CAs mit dem Bann belegen.