Seit November 2014 liefern wir standardmäßig SSL Zertifikate mit SHA-2 Signatur-Algorithmus aus. Schon seit einigen Jahren weisen Zertifizierungsstellen und auch InterSSL darauf hin, dass alte SHA-1 Zertifikate kostenlos ersetzt werden sollen mit Zertifikaten die den SHA-2 Algorithmus nutzen. Auch diverse Webbrowser Hersteller haben reagiert und zeigen seit einigen Monaten entsprechende Meldungen bei SHA-1 Zertifikaten an.

Am 23. Februar 2017 ist es soweit: Google Security veröffentlicht Informationen zu einer SHA-1 Collision, welche die zuvor rein theoretische Attacke auf SHA-1 erstmals in der Praxis umsetzt. 

Der dafür notwendige Rechenaufwand ist allerdings noch immer enorm - Zitat Google:

 

  • Nine quintillion (9,223,372,036,854,775,808) SHA1 computations in total
  • 6,500 years of CPU computation to complete the attack first phase
  • 110 years of GPU computation to complete the second phase

Beginnent mit Version 56, die im Jänner 2017 veröffentlicht wurde, stuft Google Chrome jede Website mit SHA-1 Zertifikaten als unsicher ein. Firefox hat SHA-1 ebenfalls per 24. Februar 2017 als veraltet eingestuft.

Nicht zuletzt aufgrund der Browser-Meldungen und der Übergangsphase seit 2014 sollte mittlerweile jeder SSL Nutzer bereits auf SHA-1 umgestellt haben. - Falls Sie noch immer ein SHA-1 Zertifikat nutzen: bitte (kostenlos) wechseln! - Sollten Sie diesbezüglich Fragen haben, kontaktieren Sie uns, wir beraten Sie gerne!

Weitere Details finden Sie im Google Security Blog unter: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html


Monday, February 27, 2017

« Zurück