Ab 1.1.2017: SSL-Zertifikate mit SHA-1 Signatur austauschen

Am Jahreswechsel verabschieden wir uns von den Geistern der Vergangenheit – und damit auch endgültig von SHA-1 signierten SSL-Zertifikaten. Ab dem 1. Januar 2017 akzeptieren die großen Browser nur noch Zertifikate mit neuen SHA-Standards. Überprüfen Sie Ihre Server und tauschen Sie die unsicheren Datensätze jetzt aus.

Das Ende von SHA-1

SHA-1 gilt seit über zehn Jahren als unsicher. Bei dem Hash-Verfahren lassen sich relativ einfach Kollisionen provozieren, die Einfallstore für gefälschte Zertifikate liefern. Zum 1. Januar 2017 werden die großen Browser Zertifikate mit dem alten Algorithmus nicht mehr akzeptieren: Das SSL-Symbol in der Adresszeile wird dann rot durchgestrichen. Das kann zu Unsicherheiten bei Endkunden führen, die daraufhin beispielsweise Checkout-Prozesse abbrechen. Wer noch ein Argument für den Wechsel brauchte, der ist hoffentlich endgültig vom Austausch überzeugt.

Der Austausch des Zertifikates

Auch heute noch nutzen tausende Server das alte Hash-Verfahren. Subdomains, Webmailer und auch VPN-Zugänge selbst von großen Unternehmen arbeiten noch mit SHA-1. Admins können unter folgendem Link ihre Zertifikate testen:

https://www.ssllabs.com/ssltest/index.html

Liegt ein altes Zertifikat vor, zeigt der Test folgende Meldungen an:

  • Signature algorithm SHA1withRSA WEAK
  • Certificate uses a weak signature. Upgrade to SHA2 to avoid Browser warnings.

In diesem Fall melden Sie sich bitte unter Angabe Ihrer Domain an den SysEleven-Support. Wenn Sie kein Kunde von SysEleven sind, wenden Sie sich bitte an den Anbieter, von dem Sie das Zertifikat erworben haben.