Umstellung von SHA-1 Zertifikaten - FAQ

26.05.2016 | Petra Alm

Wussten Sie schon, dass SSL-Zertifikate, die noch das alte SHA-1 (Secure Hash Algorithm) verwenden, von Betriebssystemen und Web-Browsern nicht länger erkannt werden? Hier können Sie feststellen, wie man auf SHA-2 kostenlos umstellen könnte, oder wie das SHA-1 Zertifikat im Google Chrome dargestell wird.

Was heißt SHA-1 und wo wird es verwendet?

Unter der Abkürzung SHA verbirgt sich der Begriff Secure Hash Algorithm und es handelt sich um die populärste Hashfunktion. Der Hash (stammt vom englischen Verb to hash, das sich als „zerhacken“ übersetzen lässt) ist eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge, so wie ein Fingerabdruck einen Menschen nahezu eindeutig identifiziert. Mithilfe vom Hash können Sie überprüfen, ob die Daten geändert worden sind. Aufgrund dieser Eigenschaft werden die Hash-Algorithmen für (elektronische) Signaturen verwendet, im Zertifkat können sie sowohl als Abbildung der Signatur, als auch einer Abbildung der Datei verwendet werden.

Es gibt auch andere Hashwerte wie MD5 - dieser Algorithmus wird aber nicht mehr verwendet, da er zu schwach und kollisionsanfällig ist. Sobald es möglich ist, die sog. Kollision, dh. zwei gleiche Abbildungen künstlich bei den Hash-Algorithmen zu erzeugen, ist der Algorithmus nicht weiter sicher.

Warum wird der Hash-Algorithmus gewechselt?

Alle Algorithmen für Verschlüsselung und Sicherheit basieren auf einem mathematischen Problem, das man nur sehr schwer lösen kann. Es wird vorausgesetzt, dass die Algorithmen von keinem Mensch oder Maschine gebrochen werden können. Von Zeit zu Zeit müssen die Algorithmen gewechselt werden.

Die Frage nach dem Zeitpunkt lässt sich nicht so einfach beantworten; in der Regel folgt die Laufzeit des Algorithmus der Empfehlung des Institutes für Standardisierung. Eines der Institute für Standardisierung ist das amerikanische NIST - National Institute of Standards and Technology. Dieses hat empfohlen, das SHA-1 nach 2013 nicht mehr zu verwenden, was dazu führte, dass auch die Software-Hersteller über einen Wechsel des Hash-Algorithmus nachdachten.

Was bedeutet das für die Kunden des SSLmarkets?

Die meisten Kunden des SSLmarkets brauchen sich keine Sorgen zu machen, der Wechsel betrifft vor allem die SSL-Zertifikate, die 2017 oder später ablaufen. Die Verlängerung sollte schon mit SHA-2-Algorithmus durchgeführt werden, Sie können das Zertifikat aber auch neu ausstellen lassen (sog. Reissue).

Wie kann man vom SHA-1 aufs SHA-2 wechseln?

Während der Laufzeit des SSL-Zertifikats kann man die Umstellung einfach durchführen, und zwar durch die Neuausstellung mit SHA-2. Dieser Prozess wird auch die Neugenerierung, reissue im Englischen, genannt.

Im Kundenprofil können Sie die Option Neu ausstellen im Detail der Bestellung finden. Erstellen Sie den neuen CSR mit SHA-2 und wechseln Sie den Hash algoritmus auf SHA-2 (das ist der Algorithmus, der von der Zertifizierungsstelle verwendet wird; nicht der Algorithmus im CSR).

Der neue CSR wird an die Zertifizierungsstelle versendet, sie stellt das SSL-Zertifikat möglichst schnell aus und Sie bekommen es wieder per E-Mail. Das Ablaufdatum und andere Parameter werden nicht geändert.

Muss ich ein neues Zertifikat wegen der Umstellung auf SHA-2 kaufen?

Natürlich nicht, es genügt das Zertifikat neu ausstellen zu lassen. S. Absatz Wie kann man von SHA-1 auf SHA-2 wechseln?

Google Chrome soll vor SHA-1 Signatur warnen. Wie?

Der Chrome Browser soll künftig vor SSL-Zertifikaten warnen, die mittels SHA-1 signiert und bis 2016 gültig sind. Google rät zum Umstieg auf den Zertifikatsunterzeichnungs-Algorithmus SHA-2 mit einer Länge von 256 Bit. Mehr zu diesem Thema finden Sie unter Google Chrome und SHA-1 Zertifikate - Ende der SHA-1 Signatur.

Microsoft wird die SHA-1 Zertifikate auch nicht mehr unterstützen. Wann wird das umgesetzt?

Die Gesellschaft Microsoft wird die SHA-1 Zertifikate (inklusive Code Signing) nach 2016 (ab 1.1.2017) nicht mehr unterstützen. Die Code Signing Zertifikate werden nach 1.1.2016 nicht mehr unterstützt. Microsoft möchte, dass die CAs keine SSL-Zertifikate mit SHA-1 nach 1.1.2016 ausstellen.

Die Offizielle Stellungnahme von Microsoft finden Sie im PKI Blog im Artikel SHA1 Deprecation Policy.

Gibt es SHA-2 Zertifikate und wo kann man Sie finden?

Die Zertifizierungsstellen stellen natürlich auch die neuen Intermediate Zertifikate mit SHA-2 zur Verfügung. Sie finden sie in der Mail vom SSLmarket.de, wenn das Zertifikat mit SHA-2 ausgestellt worden ist. SSLmarket garantiert, dass das Intermediate Zertifikat immer richtig und aktuell in jeder Bestellung ist. Die Systemanlagen der CA sind seit dem 15.9.2014 darauf vorbereitet, die Zertifikate neu auszustellen und richtige SHA-2 Intermediate Zertifikate zu versenden.

Sie können die Intermediate Zertifikate auch unter den Webseiten der einzelnen Zertifizierungstellen finden:

Die Intermediate Zertifikate können sowohl die SHA-1 Wurzelzertifikate, als auch die SHA-2-Zertifikate der Zertifizierungsstelle verwenden. Beide Versionen können Sie unter den Links finden.

Könnten einige Seitenbenutzer mit dem SHA-2 Zertifikat ein Problem haben?

Die Seitenbenutzer mit alter Sofware können Probleme haben. Zum Beispiel Windows XP mit SP2, Unterstützung für SHA-2 wurde in SP3 ergänzt. Android unterstützt das SHA-2 Algorithmus ab der 2.3 Version.

Kann man die SHA-2 Zertifikate im Browser testen?

Ja, Sie können z.B. die spezielle Webseite Symantec SHA256 SSL Page benutzen. Wenn das Zertifikat im Browser dargestellt wird, ist es mit SHA-256 kompatibel.


Haben Sie Fragen? Kontaktieren Sie den Kundenservice des SSLmarkets.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de