Umstieg auf sichere SHA-2-Zertifikate wird empfohlen

Eine Million SSL-Zertifikate nutzen unsicheren SHA-1-Algorithmus
Kommentare

Wie Netcrafts SSL-Survey vom Oktober ergab, verwenden noch immer rund eine Million SSL-Zertifikate den potentiell angreifbaren SHA-1-Algorithmus. Und damit nicht genug: Einige Zertifizierungsstellen geben fleißig immer weiter SHA-1-Zertifikate aus, obwohl der Übergang zu Hashfunktionen der SHA-2-Familie empfohlen wird.

Auch Google Chrome sieht die SHA-1-Zertifikate bereits als unsicher an, was zu mehr Warnmeldungen im Browser führt, als wenn eine Website über eine verschlüsselte HTTP-Verbindung agieren würde. Dennoch wird SHA-1 noch immer von knapp einer Million SSL-Zertifikaten als Verschlüsselung genutzt und von einigen Zertifizierungsstellen wird eine weitere Verwendung sogar gefordert.

Die als Secure Hash Standard (SHS) bezeichnete Norm spezifiziert den sicheren Hash-Algorithmus (SHA) mit einem Hash-Wert von 160 Bit Länge für beliebige digitale Daten von maximal 264 − 1 Bit (≈ 2 Exbibyte) Länge. Intern werden Blöcke der Größe 512 Bit verwendet. Bereits 2005 wurde allerdings die Verschlüsselung hinter SHA-1 gebrochen, wie Kryptografieexperte Bruce Schneier meldete. Als Reaktion auf die bekannt gewordenen Angriffe gegen SHA-1 empfiehlt das National Institute of Standards and Technology (NIST) seit rund zehn Jahren den Übergang von SHA-1 zu Hashfunktionen der SHA-2-Familie (SHA-224, SHA-256, SHA-384, SHA-512). Langfristig sollen diese durch den neuen Standard SHA-3 ersetzt werden, bei dem die Länge des Hashwerts variabel ist.

SHA-1 weist gefährliche Schwachstelle auf

Neueste Studienergebnisse – genannt „SHAppening“ – zeigen, dass die Warnungen vor SHA-1 begründet sind: Eine komplette SHA-1-Kollision könnte innerhalb von 49-78 Tagen in einem 512-GPU-Cluster hergestellt werden. Würde man diese Bearbeitungszeit auf einem Amazon EC2-Service anmieten, käme man auf Kosten zwischen 75.000 und 120.000 Dollar – eine wesentlich geringere Größenordnung als zuvor angenommen. Die Forscher weisen darauf hin, dass die Ergebnisse ein wichtiges Alarmsignal verkörpern und dass es nicht ausreichen wird, sich erst 2017 von SHA-1 zu verabschieden.

Es sei jetzt durchaus möglich, dass ein Hacker eine SSL-Seite nachahmt, die ein allgemein akzeptiertes SHA-1-Zertifikat nutzt. Und das ist nicht alles: Solange Browser SHA-1-Signaturen akzeptieren, bleiben SSL-Seiten gefährdet, auch wenn sie zu SHA-2 migrieren. Denn kompromittiert ein Angreifer ein dazwischenliegendes, mit SHA-1 signiertes CA-Zertifikat, kann er gültige Zertifikate für beliebige Domains erstellen. Aus diesem Grund sind die SHA-2- und SHA-3-Familie der kryptologischen Hashfunktionen die einzigen, die vom NIST zugelassen sind. Sie weisen nämlich nicht die mathematische Schwachstelle von SHA-1 auf und generieren zudem längere Hash-Werte.

Der Aufstieg von SHA-2

Seit Dezember 2013 dürfen laut NIST keine neuen Signaturen mehr mit SHA-1 verschlüsselt werden. Zu einem regelrechten Boom bei der Nutzung von SHA-2-Zertifikaten führte 2014 der HeartBleed-Bug: Rund eine halbe Million alter SHA-1-Zertifikate waren gefährdet. Im Mai 2015 war der Anteil von SHA-2 erstmals höher als der von SHA-1, dennoch sind noch rund eine Million SHA-1-Zertifikate im Umlauf. Ende des Jahres wird allerdings mit einem Stop der Nutzung von SHA-1 in neuen Zertifikaten gerechnet, da die CA/Browser Forum Baseline Requirements ab 2016 die Ausgabe von neuen Zertifikaten mit SHA-1 verbieten.

Dennoch hat Symantec ein Gesuch gestartet, um die Verwendung von SHA-1 auch noch 2016 zu ermöglichen. Dieser Schritt sollte Kunden helfen, die bis Ende des Jahres nicht auf SHA-2 migrieren könnten. Als aber die neuen Studienergebnisse bekannt wurden, die einen Real-World-Angriff wesentlich wahrscheinlicher machten als bisher angenommen, widerrief Symantec seine Forderung. Bereits jetzt unterstützen viele Browser SHA-1-Zertifikate nicht länger: Chrome beispielsweise stuft SHA-1-Zertifikate, die in 2016 auslaufen, als unsicher ein und warnt vor ihnen. SHA-1-Zertifikate, die bis 2017 oder länger gültig sind, werden als „affirmatively insecure“ bezeichnet und das https-Protokoll durchgestrichen angezeigt.

Schwache und unsichere Zertifikate

Obwohl sie als schwach oder unsicher von einem der meistgenutzten Browser eingestuft werden, sind 2015 über 120.000 SHA-1-Zertifikate ausgestellt worden – und 3.900 von ihnen laufen noch vor 2017 ab. Diese Zertifikate müssen schnellstmöglich ersetzt werden, bevor sie von Browsern nicht länger unterstützt werden. Außerdem sind noch immer theoretisch mehr als 256.000 SHA-1-Zertifikate länger als 2017 gültig: So nutzt beispielsweise Deloitte noch immer SHA-1-Zertifikate (gültig bis 2020), vor denen Chrome den Nutzer bereits jetzt warnt.

Allerdings sind einige Zertifizierungsstellen von einem unerwarteten Fallstrick betroffen: Nachdem sie zu SHA-2 migrierten, konnten sie keine neuen Namen für ihre SHA-2-signierten, dazwischenliegenden Zertifikate vergeben. Das Problem ergibt sich aus dem Cachen von kryptografischen Libraries, die Chrome nutzt: Wird das bestehende Zertifikat neu verwendet, nutzen manche Browser das alte SHA-1-Zertifikat, falls es zuvor gecacht wurde.

Aufmacherbild: Many old keys placed on a well used old wooden desk with incoming light von Shutterstock / Urheberrecht: optimarc

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -