Unsichere SHA-1 Zertifikate

Seit 2005 ist bekannt, dass der SHA-1 Algorithmus mit komplexen Methoden und hoher Rechenleistung kompromittiert werden kann. In der Folge wurde der SHA-1 Algorithmus als nicht zukunftssicher eingestuft und Massnahmen eingeleitet, diesen zu ersetzen.

2014 sind Methoden bekannt geworden, die es ermöglichen, den SHA-1 Algorithmus noch schneller zu kompromittieren, was die Dringlichkeit für einen Ersatz weiter erhöhte. So unterstützen alle modernen Browser und Betriebssysteme seit Anfang Jahr keine SHA-1 SSL/TLS Zertifikate mehr.

Aufgrund dieser neuen Methoden ist es Ende Februar erstmalig gelungen, zwei unterschiedliche Dokumente mit demselben SHA-1 Hash zu erzeugen. Nun ist auch praktisch gezeigt, dass die Nutzung des SHA-1 Algorithmus ein konkretes Risiko darstellt und die Nutzung vermieden werden sollte. Wir empfehlen daher nochmals, noch vorhandene SHA-1 Zertifikate, vordringlich SSL/TLS Zertifikate, mit Zertifikaten der neuen Generation auszutauschen.

 

Kunden unserer Managed PKI können diese Zertifikate einfach revozieren und neue Zertifikate durch die Managed PKI ausstellen lassen. Sie erkennen diese auch daran, dass die ausgebende CA (Issuing CA) das Kürzel „G2“ anstelle von „G22“ zeigt. Für die Bezieher der Einzelzertifikate im Webshop haben wir bereits vor 2 Jahren ein Austauschprogramm gestartet. Sollten Sie hiervon noch nicht Gebrauch gemacht haben, wenden Sie sich bitte an unseren Helpdesk.

 

Sofern Zugangszertifikate auf unsere Managed PKI noch SHA-1 beinhalten, werden wir diese proaktiv austauschen und Sie rechtzeitig im Vorhinein über den Austausch informieren.