IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Genauso wie Sie nie zu reich oder zu schlank sein können, können E-Commerce-Websites nie zu sicher sein. Außer vielleicht, wenn dieses „zu sicher“ unmittelbar in die Zeit des Weihnachtsgeschäftes fällt, zu der etliche Online-Händler den Großteil ihres Jahresumsatzes machen.

Google hat Online-Händlern möglicherweise unwissentlich mit seinem geheimnisvollen und folgenreichen Update rechtzeitig zum Weihnachtsgeschäft 2014 einen Bärendienst erwiesen. Auch deshalb, weil der SSL-Zug ohnehin schon ordentlich Fahrt aufgenommen hat. Die Branchenstimmung zum Thema: Tolle Idee, schlechtes Timing. 

Eine kurze Zusammenfassung: SHA-1 ist der am weitesten verbreitete kryptographische Algorithmus (SHA steht für Secure Hash Algorithm) bei digitalen SSL-Zertifikaten. Diese weisen nach, dass eine bestimmte Website vertrauenswürdig ist (denken Sie z.B. an Schloss-Symbole, grüne Adresszeilen). 

SSL-Verschlüsselung wird nach einer aktuellen Umfrage heutzutage auf mehr als 82 Prozent aller Websites eingesetzt. Betreiber einer Website gehen zu einer Zertifizierungsstelle (CA), einem branchenzertifizierten und vertrauenswürdigen Drittanbieter, der überprüft, ob Website-Betreiber diejenigen sind, für die sie sich ausgeben. Die CA stellt dann ein SSL-Zertifikat aus, das die Website authentifiziert und die Daten während der Kommunikation verschlüsselt. Dies ist ein grundlegender Teil des Public Key-Infrastruktur (PKI)-Systems, um eine vertrauenswürdige Online-Kommunikation zwischen den Betreibern eines Webservers und einem Browser herzustellen. 

Am 19. August 2014 kündigte Google eine neue Richtlinie an. Mit der Veröffentlichung von Chrome 39 (für November dieses Jahres geplant) wird Google damit beginnen vor Websites zu warnen, die SHA-1-Zertifikate verwenden. Damit liegen lediglich knappe 12 Wochen zwischen Bekanntgabe und der beginnenden Umsetzung. 

Wenn ein Benutzer Chrome als Browser verwendet und eine Website besucht, die bestimmte SHA-1-Zertifikate einsetzt, wird er ein markantes gelbes "Warnschild" über dem Schloss-Symbol sehen, zusammen mit der Meldung "Sicher, aber geringfügige Fehler". Dieses kleine Gefahrenschild würde wahrscheinlich dazu führen, dass der potenzielle Kunde den Vorgang abbricht und auf einer anderen Website weiter einkauft. 

Sicherheitsexperten sind sich einig, dass der ältere SHA-1-Signieralgorithmus zukünftig abgelöst wird. Die Branche ist bereits auf dem Weg: SHA-1-Zertifikate: ab 2017 werden die nicht mehr als vertrauenswürdig anerkannt. Es ist aber wichtig darauf hinzuweisen, dass mit diesem Standard kein Missbrauch verbunden war. 

Gutes Timing?

Google Chrome ist der am meisten verwendete Browser in drei der Top 4-Rankings seit Juni 2014. Zahlreiche Firmen verlassen sich für einen Großteil ihres Umsatzes auf Weihnachten. Deshalb stellen CA Security Councils, Online-Händler und etliche Branchenexperten Googles Timing in Frage. Wer im E-Commerce agiert hat ohnehin genug damit zu tun, dass Kunden ihm dauerhaft vertrauen. Schon die leiseste Andeutung im Hinblick auf eine Sicherheitslücke kann sich erheblich auf einen Online-Kauf auswirken. 

Auch wenn die Veränderung sowohl große als auch kleine Online-Händler benachteiligt, so werden letztere zweifellos härter getroffen. Zudem verfügen sie möglicherweise nicht über die nötigen zusätzlichen Ressourcen, um den Wechsel von SHA-1 zu SHA-2 zu bewältigen. Überdies werden die SHA-1-Warnungen innerhalb von 3 Monaten über 3 Chrome-Veröffentlichungen verteilt, und zwar mit zunehmend eindringlicheren Warnungen. 

Was sollten Betreiber einer E-Commerce-Site tun?

Die offensichtliche Antwort ist: jetzt auf ein SHA-2-Zertifikat aktualisieren. Die großen CAs und die Certificate Authority Security Council Website bieten Links zu automatischen SSL-Prüfprogrammen, die anzeigen, ob eine Seite SHA-1 oder den empfohlenen SHA-2-Algorithmus verwendet.  

Site-Betreiber sollten schnell handeln und das Hosting-Unternehmen kontaktieren, bei dem sie ihr SSL-Zertifikat erworben haben. Die meisten CAs stellen kostenlose Möglichkeiten zum Zertifikatswechsel zur Verfügung. Solche Tools führen den Site-Administrator Schritt für Schritt durch den Prozess über den das Zertifikat neu ausgestellt werden kann. 

Zudem stellen sie sicher, dass die SSL-Site den bevorzugten SHA-256-Hash-Algorithmus unterstützt, der auf dem neueren SHA-2-Standard basiert.

Fazit: Googles Timing mit der Ausgabe von Warnungen sozusagen „rechtzeitig“ zum Weihnachtsgeschäft zu beginnen ist durchaus überraschend. Andererseits ist es angesichts der aktuell fast wöchentlich auftretenden Hacker-Angriffe und dem Bekanntwerden von Sicherheitslücken wichtig, rechtzeitig vor der Chrome-39-Veröffentlichung Upgrades der jeweiligen E-Commerce-Sites durchzuführen. Es gibt keinen Grund, den Käufern dadurch die Feiertags- und Kauflaune zu verderben, weil eine Site fragwürdige Warnungen ausgibt. 

www.globalsign.com

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet