<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!--P{margin-top:0;margin-bottom:0;} .ms-cui-menu {background-color:#ffffff;border:1px rgb(166, 166, 166) solid;font-family:'Segoe UI','Segoe WP','Segoe UI WPC',Tahoma,Arial,sans-serif;font-size:10pt;color:rgb(51, 51, 51);} .ms-cui-menusection-title {display:none;} .ms-cui-ctl {vertical-align:text-top;text-decoration:none;color:rgb(51, 51, 51);} .ms-cui-ctl-on {background-color:rgb(205, 230, 247);opacity: 0.8;} .ms-cui-img-cont-float {display:inline-block;margin-top:2px} .ms-cui-smenu-inner {padding-top:0px;} .ms-owa-paste-option-icon {margin: 0px 6px 0px 6px;vertical-align:middle!important;padding-bottom: 2px;display:inline-block;} .ms-rtePasteFlyout-option:hover {background-color:rgb(205, 230, 247) !important;opacity:1 !important;} .ms-rtePasteFlyout-option {padding:8px 4px 8px 4px;outline:none;} .ms-cui-menusection {float:left; width:85px;height:24px;overflow:hidden}.wf {speak:none; font-weight:normal; font-variant:normal; text-transform:none; -webkit-font-smoothing:antialiased; vertical-align:middle; display:inline-block;}.wf-family-owa {font-family:'o365Icons'}@font-face { font-family:'o365IconsIE8'; src:url('prem/15.0.995.29/resources/styles/office365icons.ie8.eot?#iefix') format('embedded-opentype'), url('prem/15.0.995.29/resources/styles/office365icons.ie8.woff') format('woff'), url('prem/15.0.995.29/resources/styles/office365icons.ie8.ttf') format('truetype'); font-weight:normal; font-style:normal;}@font-face { font-family:'o365IconsMouse'; src:url('prem/15.0.995.29/resources/styles/office365icons.mouse.eot?#iefix') format('embedded-opentype'), url('prem/15.0.995.29/resources/styles/office365icons.mouse.woff') format('woff'), url('prem/15.0.995.29/resources/styles/office365icons.mouse.ttf') format('truetype'); font-weight:normal; font-style:normal;}.wf-family-owa {font-family:'o365IconsMouse'}.ie8 .wf-family-owa {font-family:'o365IconsIE8'}.ie8 .wf-owa-play-large:before {content:'\e254';}.notIE8 .wf-owa-play-large:before {content:'\e054';}.ie8 .wf-owa-play-large {color:#FFFFFF/*$WFWhiteColor*/;}.notIE8 .wf-owa-play-large {border-color:#FFFFFF/*$WFWhiteColor*/; width:1.4em; height:1.4em; border-width:.1em; border-style:solid; border-radius:.8em; text-align:center; box-sizing:border-box; -moz-box-sizing:border-box; padding:0.1em; color:#FFFFFF/*$WFWhiteColor*/;}.ie8 .wf-size-play-large {width:40px; height:40px; font-size:30px}.notIE8 .wf-size-play-large {width:40px; height:40px; font-size:30px}.notIE8 .wf-owa-triangle-down-small:before {content:'\e052';}.ie8 .wf-owa-triangle-down-small:before { content:'\e052';}.ie8 .wf-owa-triangle-down-small {color:#666666/*$WFGreyColor*/;}.wf-size-x20 {font-size: 20px!important;}--></style>
</head>
<body dir="ltr" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>Das Leibniz Rechenzentrum wird in den kommenden Wochen alle noch mit dem SHA1-Algorithmus signierten Serverzertifikate mit SHA256 signierten Versionen austauschen. Dabei kann es unter Umständen nötig sein, bestehende und verschlüsselte Verbindungen erneut
aufzubauen (dies ist in allen üblichen Browsern mit einem Neuladen der aufgerufenen Seite erledigt).</p>
<p><br>
</p>
<p>Davon betroffen sind v.a. diverse Services im Rahmen des Webhostings am LRZ.</p>
<h3>Technische Hintergründe:</h3>
<p>Mit Hilfe von Zertifikaten kann man u.a. die Authentizität des Verbindungspartners überprüfen, z.B. kann der Browser prüfen, ob die aufgerufene Webseite wirklich vom angefragten Webserver kommt. Ein Zertifikat ist dabei stets einem Schlüsselpaar (Public
und Private Key) zugeordnet, mit dem die Kommunikation des Webservers ver- und entschlüsselt werden kann.</p>
<p><br>
</p>
<p>Damit das Zertifikat als vertrauenswürdig gilt, muss es von einer Certification Authority signiert werden. Diese ist ebenfalls mit einem Zertifikat und einem Schlüsselpaar digital repräsentiert. Die Signierung kann mit unterschiedlich starken Algorithmen
durchgeführt werden, SHA1 gilt seit geraumer Zeit als unsicher, SHA256 hingegen genügt weitaus höheren Sicherheitsstandards. Viele Zertifikate werden nicht direkt von allgemein bekannten, sogenannten root-Zertifikaten signiert, sondern durch Zwischenzertifikate
(z.B. der TUM, LMU, des DFN, etc.). Selbst wenn das Zertifikat eines Webservers selbst mit SHA256 signiert ist, ergibt sich ein Angriffsvektor, wenn die Intermediate-Zertifikate noch SHA1-signiert sind.</p>
<p><br>
</p>
<p>Google hat als erster Maintainer eines Browsers mit signifikantem Marktanteil (Chrome) angekündigt, SHA1-signierte Zertifikate nicht mehr als sicher einzustufen (<a href="http://googleonlinesecurity.blogspot.de/2014/09/gradually-sunsetting-sha-1.html">Blog-Eintrag</a>),
perspektivisch wird auch die ganze Zertifikats-Kette überprüft und beim Auftauchen eines SHA1-signierten Zertifikats verworfen. Weitere Browser-Anbieter werden dieser Policy wohl folgen.</p>
</body>
</html>