VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

SHA1 WarnungGenauso wie Sie nie zu reich oder zu schlank sein können, können E-Commerce-Websites nie zu sicher sein. Außer vielleicht, wenn dieses „zu sicher“ unmittelbar in die Zeit des Weihnachtsgeschäftes fällt, zu der etliche Online-Händler den Großteil ihres Jahresumsatzes machen.

Google hat Online-Händlern möglicherweise unwissentlich mit seinem geheimnisvollen und folgenreichen Update rechtzeitig zum Weihnachtsgeschäft 2014 einen Bärendienst erwiesen. Auch deshalb, weil der SSL-Zug ohnehin schon ordentlich Fahrt aufgenommen hat. Die Branchenstimmung zum Thema: Tolle Idee, schlechtes Timing. 

Eine kurze Zusammenfassung: SHA-1 ist der am weitesten verbreitete kryptographische Algorithmus (SHA steht für Secure Hash Algorithm) bei digitalen SSL-Zertifikaten. Diese weisen nach, dass eine bestimmte Website vertrauenswürdig ist (denken Sie z.B. an Schloss-Symbole, grüne Adresszeilen). 

SSL-Verschlüsselung wird nach einer aktuellen Umfrage heutzutage auf mehr als 82 Prozent aller Websites eingesetzt. Betreiber einer Website gehen zu einer Zertifizierungsstelle (CA), einem branchenzertifizierten und vertrauenswürdigen Drittanbieter, der überprüft, ob Website-Betreiber diejenigen sind, für die sie sich ausgeben. Die CA stellt dann ein SSL-Zertifikat aus, das die Website authentifiziert und die Daten während der Kommunikation verschlüsselt. Dies ist ein grundlegender Teil des Public Key-Infrastruktur (PKI)-Systems, um eine vertrauenswürdige Online-Kommunikation zwischen den Betreibern eines Webservers und einem Browser herzustellen. 

Am 19. August 2014 kündigte Google eine neue Richtlinie an. Mit der Veröffentlichung von Chrome 39 (für November dieses Jahres geplant) wird Google damit beginnen vor Websites zu warnen, die SHA-1-Zertifikate verwenden. Damit liegen lediglich knappe 12 Wochen zwischen Bekanntgabe und der beginnenden Umsetzung. 

Wenn ein Benutzer Chrome als Browser verwendet und eine Website besucht, die bestimmte SHA-1-Zertifikate einsetzt, wird er ein markantes gelbes "Warnschild" über dem Schloss-Symbol sehen, zusammen mit der Meldung "Sicher, aber geringfügige Fehler". Dieses kleine Gefahrenschild würde wahrscheinlich dazu führen, dass der potenzielle Kunde den Vorgang abbricht und auf einer anderen Website weiter einkauft. 

Sicherheitsexperten sind sich einig, dass der ältere SHA-1-Signieralgorithmus zukünftig abgelöst wird. Die Branche ist bereits auf dem Weg: SHA-1-Zertifikate: ab 2017 werden die nicht mehr als vertrauenswürdig anerkannt. Es ist aber wichtig darauf hinzuweisen, dass mit diesem Standard kein Missbrauch verbunden war. 

Gutes Timing?

Google Chrome ist der am meisten verwendete Browser in drei der Top 4-Rankings seit Juni 2014. Zahlreiche Firmen verlassen sich für einen Großteil ihres Umsatzes auf Weihnachten. Deshalb stellen CA Security Councils, Online-Händler und etliche Branchenexperten Googles Timing in Frage. Wer im E-Commerce agiert hat ohnehin genug damit zu tun, dass Kunden ihm dauerhaft vertrauen. Schon die leiseste Andeutung im Hinblick auf eine Sicherheitslücke kann sich erheblich auf einen Online-Kauf auswirken. 

Auch wenn die Veränderung sowohl große als auch kleine Online-Händler benachteiligt, so werden letztere zweifellos härter getroffen. Zudem verfügen sie möglicherweise nicht über die nötigen zusätzlichen Ressourcen, um den Wechsel von SHA-1 zu SHA-2 zu bewältigen. Überdies werden die SHA-1-Warnungen innerhalb von 3 Monaten über 3 Chrome-Veröffentlichungen verteilt, und zwar mit zunehmend eindringlicheren Warnungen. 

Was sollten Betreiber einer E-Commerce-Site tun?

Die offensichtliche Antwort ist: jetzt auf ein SHA-2-Zertifikat aktualisieren. Die großen CAs und die Certificate Authority Security Council Website bieten Links zu automatischen SSL-Prüfprogrammen, die anzeigen, ob eine Seite SHA-1 oder den empfohlenen SHA-2-Algorithmus verwendet.  

Site-Betreiber sollten schnell handeln und das Hosting-Unternehmen kontaktieren, bei dem sie ihr SSL-Zertifikat erworben haben. Die meisten CAs stellen kostenlose Möglichkeiten zum Zertifikatswechsel zur Verfügung. Solche Tools führen den Site-Administrator Schritt für Schritt durch den Prozess über den das Zertifikat neu ausgestellt werden kann. 

Zudem stellen sie sicher, dass die SSL-Site den bevorzugten SHA-256-Hash-Algorithmus unterstützt, der auf dem neueren SHA-2-Standard basiert.

Fazit: Googles Timing mit der Ausgabe von Warnungen sozusagen „rechtzeitig“ zum Weihnachtsgeschäft zu beginnen ist durchaus überraschend. Andererseits ist es angesichts der aktuell fast wöchentlich auftretenden Hacker-Angriffe und dem Bekanntwerden von Sicherheitslücken wichtig, rechtzeitig vor der Chrome-39-Veröffentlichung Upgrades der jeweiligen E-Commerce-Sites durchzuführen. Es gibt keinen Grund, den Käufern dadurch die Feiertags- und Kauflaune zu verderben, weil eine Site fragwürdige Warnungen ausgibt. 

www.globalsign.com

GRID LIST
Flugzeug

Transavia hebt ab mit One Identity

Niederländische Fluggesellschaft reduziert Provisionierungsaufwand für saisonal…
Identity

IAM löst Digitalisierungsprobleme von Finanzdienstleistern

Finanzdienstleister haben es nicht leicht, in der schnellen Welt der digitalisierten…
Wolke mit Ampelsystem

Datenschutz und Kundenerlebnis im Einklang

Im Zeitalter des digitalen Wandels müssen Unternehmen das Gleichgewicht zwischen der…
IAM CONNECT 2018

IAM CONNECT 2018: Mit sicheren Identitäten fit für die Zukunft

Die Konferenz IAM CONNECT 2018 bringt Akteure und Entscheider im Umfeld des Identity- und…
Tb W190 H80 Crop Int 8998ff6628ec848acf550ef460c57118

Diebstahl von Zugangsdaten bleibt größtes Sicherheitsrisiko

Bereits im vergangenen Jahr waren die meisten „erfolgreichen“ Cyber-Attacken auf die…
Tb W190 H80 Crop Int 3878ef822fe9c2e1dd6bf90af194e8bb

Die Identity-Trends: Biometrie, Blockchain und Co.

Ob Equifax, Dropbox oder WannaCry – Das Jahr 2017 bleibt vielen durch groß angelegte…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security