Informationen zur Erfordernis der SHA-2 Hash-Funktion
Alle SSL-Zertifikate, die noch die alte Hash-Funktion SHA-1 nutzen, müssen einen neuen Schlüssel erhalten, um umgehend die neue Hash-Funktion SHA-2 zu verwenden. SHA-1 weist Sicherheitslücken auf; dies hebt den Sinn und Zweck eines SSL-Zertifikats auf.
Zusätzliche Informationen
SSL-Zertifikate zerhacken (bzw. verschlüsseln) die Kommunikation zwischen dem Server Ihrer Website und dem Browser Ihres Besuchers derart, dass nur sie verstehen, was sie sich gegenseitig mitteilen. Dadurch wird verhindert, dass andere der Unterhaltung lauschen und vielleicht Dinge aufschnappen, die nicht für ihre Ohren bestimmt sind, wie Kreditkartennummern oder Sozialversicherungsnummern. Die Verschlüsselung erfolgt mittels einer sogenannten Hash-Funktion.
Auch wenn Codesignaturzertifikate andere Informationen verschlüsseln, verwenden sie doch die gleiche Hash-Funktion, um ausführbaren Code bei seiner Freigabe durch den Entwickler zu „signieren“. Falls der Code manipuliert wird, arbeitet die digitale Signatur (mit Hash-Wert) nicht mehr ordnungsgemäß und der Benutzer wird bei versuchter Ausführung des Codes entsprechend gewarnt.
Die Hash-Funktion, die wir vor dem 23. Dezember 2013 in der Regel eingesetzt haben, wurde SHA-1 genannt. Diese Hash-Funktion wurde bereits eingesetzt, als die ersten SSL-Zertifikate Mitte der 90er Jahre entwickelt wurden.
Da jedoch Computer im Allgemeinen immer leistungsfähiger werden, ist es auch eher möglich, dass solche mit SHA-1 zerlegten Informationen entschlüsselt werden. Daher treibt Microsoft® eine neue Branchenrichtlinie voran, die alle Zertifizierungsstellen, auch uns, dazu zwingt, standardmäßig als Hash-Funktion SHA-2 zu verwenden. Google ist mit im Boot und lässt seinen Webbrowser Chrome® Besucher vor Sicherheitsproblemen warnen, wenn Zertifikate noch SHA-1 verwenden.
Muss mein Zertifikat SHA-2 verwenden?
Neue Zertifikate, die wir ausstellen und die nach dem 1. Januar 2017 ablaufen, dürfen nur SHA-2 verwenden.
Codesignaturzertifikate mit einem Ablaufdatum nach dem 31. Dezember 2015 müssen ebenfalls SHA-2 verwenden. Ausgenommen sind SHA-1-Codesignaturzertifikate, die weiterhin eingesetzt werden dürfen, um Dateien für die Verwendung unter Windows Vista oder früheren Versionen von Windows zu signieren. Weitere Informationen finden Sie im Microsoft-Artikel Windows Enforcement of Authenticode Code Signing and Timestamping (nur in englischer Sprache).
Bereits ausgestellte Zertifikate müssen zwar nicht SHA-2 einsetzen, aber wir empfehlen dringend, dies zu tun. Ein Wechsel zum jetzigen Zeitpunkt erhöht die Sicherheit Ihres Servers und macht ihn zukunftssicher. Der Wechsel zur neuen Hash-Funktion SHA-2 ist ganz einfach. Sie brauchen nur für Ihr Zertifikat einen neuen Schlüssel generieren. Weitere Informationen finden Sie unter Anfordern eines neuen Schlüssels für mein Zertifikat.