10.10.2016

Das Jahr 2017-Problem für Zertifikate

End of Life von SHA1 signierten Zertifikaten

Wie gehen Unternehmen mit ihren Zertifikaten um, welche Vorkehrungen wurden getroffen, um SHA1 basierte Zertifikate zu ersetzen?
Zum 31. Dezember 2016 werden mit SHA1 signierte Zertifikate als nicht vertrauenswürdig eingestuft oder gar nicht mehr akzeptiert. Sämtliche Browser-Hersteller, einige Betriebssystem-Hersteller und vor allem die externen Zertifizierungsstellen [CA] beschäftigen sich bereits seit Jahren mit dem Thema und haben Vorkehrungen getroffen. Viele Unternehmen haben aber von diesem Ereignis noch nichts gehört und wissen nicht, dass es ihre interne CA und die damit erstellten Zertifikate betrifft.

Im Rahmen seiner Präsentation erklärte Herr Dipl.-Ing. Christian Rost von roCon – Informationstechnologie die Hintergründe des „End of Life“ von SHA1 basierten Zertifikaten und zeigte anhand anschaulichen Beispielen die Notwendigkeit von vertrauenswürdigen Zertifikaten.
Im praktischen Einsatz „umschiffen“ viele Unternehmen die Notwendigkeit für alle Appliances neue Zertifikate zu erstellen und fahren einen Ansatz um entweder beide Zertifikate umzustellen oder nur nach aussen hin SHA256 anzubieten, intern zur Kommunikation aber den alten Standard beizubehalten.
Einige ältere Windows-OS, Clients und Server unterstützen kein SHA256, namentlich Windows XP SP2, Android 2.2 und früher, Windows Server 2003 SP1, OSX 10.4, iOS 2.X.
Serverseitig ist momentan nur der Apache-Webserver in der Lage, verschiedene Zertifikate für eine Webseite zu konfigurieren, um SHA256-basierte Zertifikate an moderne Browser und SHA1-basierte Zertifikate an ältere Browser auszuliefern.
Für Nginx gibt es momentan noch keine Lösung, multiple Zertifikate zu konfigurieren.

Herr Rost erläuterte hier die Notwendigkeit und die Wege, eine sichere Zertifikatskette aufzubauen und im Anschluss an die Präsentation entwickelten sich rege Diskussionen bei Kaffee und Brötchen.

Das nächste IT’S Breakfast findet am 28.10 zum Thema Compliance-Anforderungen an IT-Service-Provider statt.