Die Zeit für Legacy-Verschlüsselung läuft aus

Bereits im Jahr 2005 gelang es einem chinesischen Team aus IT-Wissenschaftlern, den Verschlüsselungs-Algorithmus SHA-1 (Secure Hash Algorithm) zu knacken. Daraufhin empfahl die US-Behörde NIST (National Institute of Standards and Technology) den Umstieg auf den sichereren SHA-2-Standard. Anfang kommenden Jahres soll dieser Umstieg nun vollzogen werden.

Hierzu gaben Microsoft, Mozilla und Google bekannt, dass sie Webseiten, die über Januar 2017 hinaus den SHA-1-Standard nutzen, nicht länger vertrauen werden. Dies hat zur Folge, dass Anwender, die eine Webseite mit veraltetem Verschlüsselungsstandard ansurfen, eine Warnmeldung vom Browser erhalten. Außerdem werden in der Adresszeile des Browsers nicht mehr die von HTTPS-Seiten gewohnten grünen Vorhängeschlösser angezeigt, die ein sicheres Surfen signalisieren. Hinzu werden Performance-Probleme auftreten, in einigen Fällen wird der Zugang zu Webseiten vielleicht sogar komplett geblockt.

Im schlimmsten Fall müssen Unternehmen mit einem teuren Komplettausfall ihrer Webpräsenz rechnen. Die Zeit zum Handeln ist also spätestens jetzt gekommen. Diese Ansicht vertritt auch Kevin Bocek, Chief Security Strategist bei Venafi, der gleichfalls auf die großen Sicherheitsdefizite des SHA-1-Standards hinweist: „SHA-1 Zertifikate im Einsatz zu belassen kommt einer offenen Tür für Einbrecher gleich – Man weißt den Cyberkriminellen geradezu einen garantierten Weg zum Erfolg.“ So sind SHA-1 Zertifikate beispielsweise gegenüber Collision Attacken verwundbar, die Cyber-Kriminellen erlauben, Zertifikate zu schmieden und Man-in-the-Middle-Attacken auf TLS Verbindungen auszuführen. Für den Schutz beim Austausch von sensiblen Daten ist daher der Umstieg auf SHA-2 unumgänglich. 

---

Zertifikate kommen etwa bei der Absicherung von Online-Banking zum Einsatz

Allerdings dürfte dieser Umstieg vielen Unternehmen nicht leicht fallen, denn nur die Wenigsten setzen bei der Verwaltung ihrer Zertifikate auf ein automatisiertes Management. Bei durchschnittlich 23.000 im Einsatz befindlichen Schlüsseln und Zertifikaten, ist ein genauer Ablaufplan für den Umstieg erforderlich, soll dieser nicht im Chaos enden. Je größer das Unternehmen, desto größer werden die Anstrengungen ausfallen, die für die Umstellung notwendig sind.

Wie umfangreich die Bedrohung durch fehlerhafte oder ausgelaufene Zertifikate ausfällt, offenbarten in jüngster Vergangenheit beispielsweise auch die Affäre um die Zertifizierungsstellen WoSign und StartCom sowie die Folgen eines Fehlers bei GlobalSign. Letzterer führte zu zahllosen schweren Ausfällen großer Webseiten und Dienste wie etwa Dropbox oder Wikipedia.

Indessen zeigt sich die aktuelle Hardware mehr als fähig, die neuen Standards zu nutzen. Selbst alte Betriebssysteme wie Windows XP (SP3) oder Windows Server 2003 (per Hotfix) unterstützen SHA-2. Und auch bei Mobil- oder IoT-Geräten sollen keine nennenswerten Performance-Einbußen auftreten.

Aktuell nutzen laut einer Venafi-Untersuchung weltweit noch 35 Prozent aller Webseiten den veralteten SHA-1-Standard, das sind über 61 Mio. Webseiten. Für diese wird die Zeit zum Umstieg nun allmählich knapp.