Veraltete Sicherheitszertifikate 01.01.2017, 08:15 Uhr

Online-Shops droht Nichterreichbarkeit zum 1. Januar

Da der unausweichliche Termin immer näher rückt, warnt der Internet-Verband eco nochmals Online-Shops vor veralteten Sicherheitszertifikaten. Diese könnten dafür sorgen, dass die betroffenen Webpräsenzen schon ab 1. Januar nicht mehr erreichbar sind.
(Quelle: Fotolia.com/rdnzl)
Das Problem ist schon länger bekannt: Der Termin rückt nun aber immer näher, weshalb der Internet-Verband eco Webseite-Betreiber und Online-Shops nun nochmals vor einer möglichen Nichterreichbarkeit zum 1. Januar 2017 warnt.
Der Grund: Beim Aufruf von Websites, die mit dem Sicherheitszertifikat SHA-1 arbeiten, wird künftig die Fehlermeldung "This page is insecure (broken HTTPS) SHA-1 Certificate" erscheinen. SHA steht für "Secure Hash Algorithm" - eine kryptografische Prüfsumme für eine Nachricht oder Datei, die deren Integrität sicherstellt.
Laut eco ist bei rund 30.000 Servern in Deutschland das Hash-Verfahren SHA-1 im Einsatz, darunter viele Online Shops.  "Bei Shops, die mit SHA-1 arbeiten, könnte es ab Januar zu einem erheblichen Umsatzeinbruch kommen, weil kaum jemand die Fehlermeldung im Browser ignorieren wird", warnt Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit.

Google Chrome zeigt jetzt schon Hinweis an

Seit über zehn Jahren ist bekannt, dass SHA-1 Sicherheitsprobleme aufweist. Alle großen Browser werden HTTPS-Zertifikate, die eine Signatur mit SHA-1 aufweisen, ab dem 1. Januar 2017 nicht mehr unterstützen.
Google Chrome weist bereits jetzt das Schlosssymbol in der Adresszeile anders aus, um auf das Sicherheitsproblem hinzuweisen. Doch die Symboländerung wird häufig ignoriert, weshalb künftig unmissverständliche Warnmeldungen erscheinen sollen.
Die Umstellung erfolgt bei Microsoft, Mozilla und offenbar auch Google allerdings nicht automatisch am 1. Januar, sondern mit dem nächsten Browser-Update im neuen Jahr.
"Die Übergangsfrist mag bis Ende Januar oder sogar bis Ende Februar laufen, aber es ist den Website-Betreibern doch sehr zu empfehlen, sich noch in diesem Jahr vielleicht direkt nach dem Weihnachtsgeschäft von SHA-1 zu verabschieden", so der Rat von Dehning.




Das könnte Sie auch interessieren