kreizihorse - Fotolia

SHA-1-Zertifikate: Der Countdown läuft

Ab Anfang 2017 werden Browser wie Chrome, Firefox und Edge Webseiten mit SHA-1-Zertifikaten nicht mehr vertrauen. Was bedeutet das für Unternehmen?

Am 1. Januar 2017 ist es soweit, denn dann werden die Browser Google Chrome, Mozilla Firefox und Microsoft Edge Webseiten, die SHA-1 Zertifikate einsetzen, nicht mehr vertrauen. Andere Browser-Versionen sind bereits jetzt soweit und markieren Webseiten mit diesen Zertifikaten als nicht mehr vertrauenswürdig. Was bedeutet Vertrauen in diesem Zusammenhang? Die aufgezählten Browser werden Nutzer im Browser vor dem Besuch dieser Webseiten und Webshops warnen.

Darüber hinaus wird dieser Hinweis sich nicht nur auf den reinen Besuch der Webseite beziehen. Alle Transaktionen, die beispielsweise über den Webshop getätigt werden oder aber, wenn personenbezogene Daten in ein Kontaktformular eingegeben werden, sind davon betroffen. Diese Warnung wird also umfangreich auf den nicht vertrauenswürdigen Status der Webseite oder des Webshops verweisen. Das wird dazu führen, dass diejenigen, die nicht rechtzeitig auf SHA-2 (SHA-256) migrieren, weniger Geschäfte machen werden als ihre Konkurrenten beziehungsweise weniger Besucher über Inhalte und Services informieren.

Browser-Warnungen

Doch die Warnungen sind nur der Anfang. Suchmaschinen werden darüber hinaus auch Alternativen vorschlagen, die sie als sicher einstufen. Das Vorhängeschloss (Padlock), dass bei einer vertrauenswürdigen Seite im Browser als grün und geschlossen angezeigt wird (links neben https) wird als rot und offen angezeigt werden. Besucher werden aber weiterhin annehmen, dass die Seiten sicher sind. Noch erheblich schlimmer als die bisher aufgezeigten Folgen sind Performance-Probleme. Webseiten könnten durch die ausgelaufenen Zertifikate ausfallen oder zeitweise abstürzen.

In einigen Fällen wird der Zugang zu den Webseiten eventuell sogar komplett durch den Browser geblockt. Studien belegen, dass Unternehmen in Deutschland bereits Ausfälle von kritischen Systemen durch abgelaufene Zertifikate erlitten haben. Diese Ausfälle kosteten bis zu 15 Millionen Euro. Die Hälfte der 574 befragten deutschen Unternehmen haben bereits angegeben, dass sie aufgrund von abgelaufenen Zertifikaten Kunden verloren haben. Mit dem Auslaufen von SHA-1 Zertifikaten wird das eher schlimmer werden.

Wenn wir an Webshops und andere Services denken, die über Webseiten angeboten werden, können Unternehmen, die nicht rechtzeitig auf SHA-2 umstellen mit großer Wahrscheinlichkeit damit rechnen, dass ihre Kunden sich bei den Service-Hotlines beschweren werden. Darüber hinaus wird es auch mehr Helpdesk-Anfragen geben. Das führt im weiteren Verlauf zu einem Umsatzrückgang und zu Image-Schäden, wenn die Probleme an mehreren kritischen Stellen auftreten oder aber über lange Zeit nicht behoben werden.

Viele Webseiten nutzen noch SHA-1 Zertifikate

Internetanalysten von einschlägig bekannten Organisationen haben 173 Millionen aktive Webseiten geortet, davon haben wir in unserer Analyse 11 Millionen Webseiten unter die Lupe genommen und hier bei 35 Prozent dieser Webseiten SHA-1 Zertifikate gefunden. Hoch gerechnet auf die 173 Millionen betriebenen Webseiten führt dies zu einer Zahl von 61 Millionen Webseiten, die noch immer SHA-1 Zertifikate nutzen.

Digitale Zertifikate dienen als Grundlage zur Erstellung von Schlüssen für die Codierung des Datenverkehrs zwischen Nutzern und Webseiten. Verschlüsselung ist hier Voraussetzung für eine private und sichere Kommunikation. Digitale Zertifikate verifizieren außerdem, dass die aufgerufene Webseite legitim ist. Alle Webbrowser nutzen Zertifikate, um festzulegen, wem während des Online-Austauschs vertraut und nicht vertraut werden kann. Besonders beim Austausch von sensiblen Daten wie eCommerce und Online-Banking ist daher die Pflege von Zertifikaten wichtig: SHA-1 Hashing-Algorithmen sind zu schwach und lassen sich einfach manipulieren. Beispielsweise sind SHA-1 Zertifikate gegenüber Collision Attacken verwundbar, die Cyberkriminellen erlauben Zertifikate zu schmieden und Man-in-the-Middle-Attacken auf TLS Verbindungen auszuführen.

Abbildung 1: Diese oder ähnliche Warnungen bekommen Anwender zu sehen, wenn die Webseite noch mit SHA-1-Zertifikaten agiert.

 

SHA-2 Algorithmen lösen diese Probleme, aber unsere Recherchen zeigen, dass viele Betreiber von Webseiten sich immer noch mit diesem Update beschäftigen. Dadurch sind sie offen für Sicherheitsvorfälle, Compliance-Probleme und Ausfälle sowie können Auswirkungen auf Verfügbarkeit und Verlässlichkeit haben. Unter den Betroffenen befindet sich die gesamte Bandbreite des Internets Webseiten von Unternehmen, Händlern, Privatleuten oder aber staatliche Institutionen, alle sind gleichermaßen mit dem Problem konfrontiert.

Der Countdown für SHA-1-Zertifikate läuft

Wie in einer Sanduhr verrinnt nun die Zeit, bis die Zertifikate auslaufen und dann schnell ersetzt werden müssen. Wir empfehlen daher schon jetzt zu handeln und nicht erst zu warten, bis sich die ersten Besucher und Kunden beschweren und das Problem aufzeigen. Unternehmen zuvorderst sollten handeln und die Migration auf SHA-2 aktiv angehen. Zunächst ist es wichtig einen Überblick darüber zu bekommen, in welchen Anwendungen und Geräten SHA-1 Zertifikate eingesetzt werden.

Unsere Analysen zeigen, dass Unternehmen im Durchschnitt mehr als 16.500 Schlüssel und Zertifikate finden, wenn sie mit automatisierten Tools danach suchen. Davon werden dann viele SHA-1-Zertifikate oder sogar noch verwundbarere MD5-Zertifikate sein. Dann müssen im zweiten Schritt alle Zertifikate in einer zentralen Instanz gesammelt werden, dies ist nötig, um sie auch künftig einfach verwalten zu können. Wer hier auf eine manuelle Test-Methode setzt, der wird eine böse Überraschung erleben, denn je nach Anzahl der Zertifikate kann dies mehrere Jahre dauern, bis alle Zertifikate migriert sind und auch dann kann sich der Verantwortliche nicht sicher sein, ob er wirklich alle Zertifikate ausgetauscht hat.

„Wer nach dem Auslaufen der SHA-1 Deadline im Februar 2017 noch immer veraltete Zertifikate im Einsatz hat, der öffnet Cyberkriminellen damit Tür und Tor.“

Georg Gann, Venafi

 

Deshalb ist es angebracht, auf automatisierte Tools zu setzen, die ein manuelles Testen viel schneller und fehlerfreier durchführen können. Sobald die Migration durch intensive Tests als erfolgreich abgeschlossen gilt, müssen die Verantwortlichen ihrem Vorstand berichten. Allerdings ist dies erst der Anfang, denn in den kommenden Jahren wird eine Migration von Zertifikaten die IT-Abteilung weiter in Atem halten, denn derzeit erarbeitet die National Institute of Standards and Technology (NIST) bereits den Nachfolger SHA-3. Durch mehr Transparenz und mehr Automatisierung kann der Umstieg dann schneller und stressfreier erfolgen als der aktuelle Wechsel.

Fazit

Nur wer weiß, was vertrauenswürdig ist und was nicht, wird künftig vor bösen Überraschungen wie dem Auslaufen von Zertifikaten gefeit sein. Die gesamte Welt des Internets baut auf ein System des Vertrauens auf, dass letztlich auf Zertifikaten aufgebaut wurde und nur durch ein automatisiertes Management in den Griff zu bekommen ist. Wer nach dem Auslaufen der SHA-1 Deadline im Februar 2017 noch immer veraltete Zertifikate im Einsatz hat, der öffnet Cyberkriminellen damit Tür und Tor. Das große Problem ist, dass sich viele Unternehmen vor allem größere Unternehmen, nicht im Klaren darüber sind, wie viele Zertifikate sie eigentlich einsetzen.

Deshalb braucht es mehr Transparenz und Automatisierung um dem Problem Herr zu werden. Im Durchschnitt haben wir bis zu 23.000 kryptographische Schlüssel und digitale Zertifikate in größeren Unternehmen gefunden, die wenigsten davon waren den Verantwortlichen wirklich bekannt. Je nach Anzahl der bereitgestellten Webseiten ist diese Zahl noch proportional höher einzustufen. Nicht nur für die Migration von SHA-1 auf SHA-2 sollten Unternehmen reagieren und mehr Überblick darüber gewinnen, welche Zertifikate und Schlüssel sie einsetzen, sonst wird es auch nach dem Umstieg immer wieder zu Problemen kommen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Ausfallsicherheit von Webservern verbessern.

Kann Googles Certificate Transparency den Zertifikatsmissbrauch verhindern?

Best Practices: Wie Sie sich gegen Man-in-the-Middle-Angriffe (MitM) verteidigen.

Was bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche?

 

Artikel wurde zuletzt im November 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close