Austausch von Serverzertifikaten bis Jahresende 2014
Adolph, Tobias
Tobias.Adolph at lrz.de
Mi Okt 29 13:53:11 CET 2014
Das Leibniz Rechenzentrum wird in den kommenden Wochen alle noch mit dem SHA1-Algorithmus signierten Serverzertifikate mit SHA256 signierten Versionen austauschen. Dabei kann es unter Umständen nötig sein, bestehende und verschlüsselte Verbindungen erneut aufzubauen (dies ist in allen üblichen Browsern mit einem Neuladen der aufgerufenen Seite erledigt).
Davon betroffen sind v.a. diverse Services im Rahmen des Webhostings am LRZ.
Technische Hintergründe:
Mit Hilfe von Zertifikaten kann man u.a. die Authentizität des Verbindungspartners überprüfen, z.B. kann der Browser prüfen, ob die aufgerufene Webseite wirklich vom angefragten Webserver kommt. Ein Zertifikat ist dabei stets einem Schlüsselpaar (Public und Private Key) zugeordnet, mit dem die Kommunikation des Webservers ver- und entschlüsselt werden kann.
Damit das Zertifikat als vertrauenswürdig gilt, muss es von einer Certification Authority signiert werden. Diese ist ebenfalls mit einem Zertifikat und einem Schlüsselpaar digital repräsentiert. Die Signierung kann mit unterschiedlich starken Algorithmen durchgeführt werden, SHA1 gilt seit geraumer Zeit als unsicher, SHA256 hingegen genügt weitaus höheren Sicherheitsstandards. Viele Zertifikate werden nicht direkt von allgemein bekannten, sogenannten root-Zertifikaten signiert, sondern durch Zwischenzertifikate (z.B. der TUM, LMU, des DFN, etc.). Selbst wenn das Zertifikat eines Webservers selbst mit SHA256 signiert ist, ergibt sich ein Angriffsvektor, wenn die Intermediate-Zertifikate noch SHA1-signiert sind.
Google hat als erster Maintainer eines Browsers mit signifikantem Marktanteil (Chrome) angekündigt, SHA1-signierte Zertifikate nicht mehr als sicher einzustufen (Blog-Eintrag<http://googleonlinesecurity.blogspot.de/2014/09/gradually-sunsetting-sha-1.html>), perspektivisch wird auch die ganze Zertifikats-Kette überprüft und beim Auftauchen eines SHA1-signierten Zertifikats verworfen. Weitere Browser-Anbieter werden dieser Policy wohl folgen.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/aktuell/attachments/20141029/8758407b/attachment.html>
Mehr Informationen über die Mailingliste aktuell