Seit November 2014 liefern wir standardmäßig SSL Zertifikate mit SHA-2 Signatur-Algorithmus aus. Schon seit einigen Jahren weisen Zertifizierungsstellen und auch InterSSL darauf hin, dass alte SHA-1 Zertifikate kostenlos ersetzt werden sollen mit Zertifikaten die den SHA-2 Algorithmus nutzen. Auch diverse Webbrowser Hersteller haben reagiert und zeigen seit einigen Monaten entsprechende Meldungen bei SHA-1 Zertifikaten an.
Am 23. Februar 2017 ist es soweit: Google Security veröffentlicht Informationen zu einer SHA-1 Collision, welche die zuvor rein theoretische Attacke auf SHA-1 erstmals in der Praxis umsetzt.
Der dafür notwendige Rechenaufwand ist allerdings noch immer enorm - Zitat Google:
- Nine quintillion (9,223,372,036,854,775,808) SHA1 computations in total
- 6,500 years of CPU computation to complete the attack first phase
- 110 years of GPU computation to complete the second phase
Beginnent mit Version 56, die im Jänner 2017 veröffentlicht wurde, stuft Google Chrome jede Website mit SHA-1 Zertifikaten als unsicher ein. Firefox hat SHA-1 ebenfalls per 24. Februar 2017 als veraltet eingestuft.
Nicht zuletzt aufgrund der Browser-Meldungen und der Übergangsphase seit 2014 sollte mittlerweile jeder SSL Nutzer bereits auf SHA-1 umgestellt haben. - Falls Sie noch immer ein SHA-1 Zertifikat nutzen: bitte (kostenlos) wechseln! - Sollten Sie diesbezüglich Fragen haben, kontaktieren Sie uns, wir beraten Sie gerne!
Weitere Details finden Sie im Google Security Blog unter: https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
Monday, February 27, 2017