Facebook, CloudFlare und SHA-1 Fallback

SHA-1-Zertifikate werden zunehmend unsicherer, sodass CloudFlare und Facebook Maßnahmen zur Aufrechterhaltung der SHA-1-Unterstützung möglicherweise nicht intuitiv erscheinen. Beide Unternehmen machen jedoch geltend, dass der sichere Zugang von Millionen von Benutzern auf dem Spiel steht.

EIN WENIGER UND WENIGER SICHERER ALGORITHMUS

Das Sicherer Hash-Algorithmus 1 (SHA-1) wird seit 1995 für die Unterzeichnung von Zertifikaten verwendet und ist für den Ruhestand längst überfällig. Durch das Knacken von SHA-1 können schwarze Hüte gefälschte Signaturen auf ihren eigenen Zertifikaten signieren, und HTTPS-Verbindungen, die diese betrügerischen Zertifikate verwenden, sehen für unachtsame Besucher völlig legitim aus. Es ist bekannt, dass SHA-1 seit einiger Zeit anfällig für Kompromisse durch gut ausgestattete (sprich: staatlich geförderte) Angreifer ist, aber die Rechenleistung, die diese Kosten verursachen, war für die meisten Angreifer - bis vor kurzem - unerreichbar. EIN Test im Oktober 2015 gab an, dass SHA-1 jetzt um den Preis eines Porsche Panamera geknackt werden kann - weit im Budget vieler krimineller Organisationen.

SHA-2 - FRÜHLING VORWÄRTS

Aktualisieren auf SHA-2 Zertifikate und die Pensionierung von SHA-1 wurden von Branchenkennern wie Mozilla, Google und Microsoft nachdrücklich gefördert. Nach dem 1. Dezember 31 stellt keine Zertifizierungsstelle nach branchenüblichen Best Practices SHA-2015-Zertifikate aus, und alle gängigen Browser lehnen SHA-1-Verbindungen bis zum 1. Januar 2017 ab (falls nicht) früher).

Die Umstellung auf SHA-2-Zertifikate wird langfristig ein stärkeres und sichereres Internet bieten. In einem Ökosystem mit mehr als drei Milliarden Nutzern wird der SHA-1-Ruhestand jedoch einige Kopfschmerzen verursachen. Eine beträchtliche Anzahl von Benutzern, die ältere oder ältere Client-Software verwenden (insbesondere Benutzer in Entwicklungsländern), wird vor einer schwierigen Wahl stehen: HTTPS-Verbindungen, die SHA-1 verwenden - oder überhaupt keine Sicherheit.

SHA-1 - FALL BACK

Aus diesem Grund Facebook und CloudFlare implementieren ihre SHA-1-Fallback-Systeme, die automatisch HTTPS-fähige, SHA-1-signierte Versionen ihrer Websites für Besucher bereitstellen, die mit älterer Technologie erkannt wurden. Nach CloudFlare-Berechnungen sichert SHA-2 Verbindungen zu 98.31 Prozent der Browser der Welt. Die restlichen 1.69 Prozent repräsentieren jedoch immer noch rund 37 Millionen Menschen, die sich auf ärmere und repressivere Teile der Welt konzentrieren und über weniger fortschrittliche Technologien auf das Internet zugreifen.

Das erklärte Ziel beider Unternehmen ist es, Best Practices der Branche einzuhalten, ohne das auf SHA-1-Verbindungen beschränkte Segment des Internets aufzugeben. Zu diesem Zweck hat CloudFlare auch die Schaffung einer völlig neuen Validierungskategorie für digitale Zertifikate vorgeschlagen, indem ein SHA-1-spezifisches hinzugefügt wird Legacy-Validierung (LV) Kategorie zum bestehenden Kanon von Domäne, Organisation und erweiterte Validierung Typen.

SSL.com wird definitiv Halten Sie sich über den Fortschritt dieses Vorschlags auf dem Laufenden.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.