Microsoft-Sicherheitsempfehlung 4010323

Kennzeichnung von SHA-1 für SSL/TLS-Zertifikate als veraltet

Veröffentlicht: 9. Mai 2017

Version: 1.0

Ab 9. Mai 2017 hat Microsoft Updates für Microsoft Edge und Internet Explorer 11 veröffentlicht, die verhindern, dass mit einem SHA-1-Zertifikat geschützte Websites geladen werden, und dafür sorgen, dass eine Warnung aufgrund eines ungültigen Zertifikats angezeigt wird. Diese Änderung betrifft nur SHA-1-Zertifikate, die mit einem Stammzertifikat des Microsoft-Programms für vertrauenswürdige Stammzertifikate (Microsoft Trusted Root Program) verknüpft sind, wobei das Zertifikat der Endorganisation oder die ausstellende Stelle SHA-1 verwendet. Unternehmenszertifikate oder selbstsignierte SHA-1-Zertifikate sind nicht betroffen. Wir empfehlen jedoch allen Kunden eine rasche Migration zu SHA-2-basierten Zertifikaten. Weitere Informationen finden Sie unter Erzwingung von SHA-1-Zertifikaten unter Windows.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 4010323.

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Informationsquellen

Informationsquellen

Allgemeine Informationen

Erzwingung von SHA-1-Zertifikaten unter Windows


Countdown, bis SHA-1 nicht mehr anerkannt wird

Technische Anforderungen

Schutz vor schwachen kryptographischen Algorithmen

Diese Empfehlung gilt für die folgenden Betriebssysteme:

Windows 7

Windows 7 für 32-Bit-Systeme Service Pack 1

Windows 7 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2

Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1

Windows 8.1

Windows 8.1 für 32-Bit-Systeme

Windows 8.1 für x64-basierte Systeme

Windows Server 2012 R2

Windows Server 2012 R2

Windows 10

Windows 10 für 32-Bit-Systeme[1]

Windows 10 für x64-basierte Systeme[1]

Windows 10 (Version 1511) für 32-Bit-Systeme[1]

Windows 10 (Version 1511) für x64-basierte Systeme[1]

Windows 10 (Version 1607) für 32-Bit-Systeme[1]

Windows 10 (Version 1607) für x64-basierte Systeme[1]

Windows Server 2016

Windows Server 2016 für x64-basierte Systeme

Server Core-Installationsoption

Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation)

Windows Server 2012 R2 (Server Core-Installation)

Windows Server 2016 für x64-basierte Systeme (Server Core-Installation)

Was genau umfasst diese Empfehlung? 
Diese Empfehlung zielt darauf ab, Benutzer bei der Bewertung der Risiken bestimmter Anwendungen, die mit dem SHA-1-Hashalgorithmus signierte digitale X.509-Zertifikate verwenden, zu unterstützen und Administratoren und Zertifizierungsstellen zu empfehlen, SHA-2 statt SHA-1 als Algorithmus zum Signieren digitaler Zertifikate einzusetzen.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist? 
Nein. Microsoft empfiehlt allen Kunden die Migration zu SHA-2, und von der Verwendung von SHA-1 als Hashalgorithmus zum Signieren wird abgeraten. Dies ist keine empfohlene Vorgehensweise mehr. Obwohl dies keine Sicherheitsanfälligkeit in einem Microsoft-Produkt ist, gibt Microsoft diese Empfehlung heraus, um die Benutzer über die damit verbundenen tatsächlichen Risiken zu informieren.

Wodurch wird diese Bedrohung verursacht?  
Die Hauptproblemursache ist eine bekannte Schwäche des SHA-1-Hashalgorithmus, wodurch dieser Kollisionsangriffen ausgesetzt wird. Solche Angriffe können es einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die die gleiche digitale Signatur haben wie ein Original. Es wird empfohlen, SHA-1-Zertifikaten nicht für Zwecke zu verwenden, die Widerstand gegen diese Angriffe erfordern. Bei Microsoft wurde durch den Sicherheitsentwicklungszyklus erforderlich, dass Microsoft den SHA-1-Hashalgorithmus nicht mehr als Standard in Microsoft-Software verwendet. Weitere Informationen zur SHA-1-Anfälligkeit bezüglich Kollisionsangriffen finden Sie unter SHAttered: The first collision for full SHA-1.

Was ist ein digitales Zertifikat? 
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der sogenannte öffentliche Schlüssel, kann an jeden weitergegeben werden. Allerdings muss es ein Verfahren geben, mit dem der Besitzer des Schlüssels anderen Personen mitteilen kann, wem der Schlüssel gehört. Digitale Zertifikate ermöglichen dies. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Onlineidentitäten von Personen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter. Weitere Informationen finden Sie unter Informationen zu digitalen Zertifikaten.

Welchen Zweck erfüllt ein digitales Zertifikat?  
Digitale Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise gibt es keinen Grund, sich überhaupt Gedankten über Zertifikate zu machen, mit Ausnahme gelegentlichen Nachricht, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

Was ist eine Zertifizierungsstelle?  
Zertifizierungsstellen sind Organisationen, die Zertifikate ausstellen. Sie definieren und überprüfen die Authentizität der öffentlichen Schlüssel, die Personen oder anderen Zertifizierungsstellen gehören, und sie überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfordert.

  • Prüfen der Richtlinienänderungen beim Microsoft-Programm für vertrauenswürdige Stammzertifikate (Microsoft Trusted Root Program)

    Benutzer, die an weiteren Informationen zu dem in dieser Empfehlung behandelten Thema interessiert sind, sollten Erzwingung von SHA-1-Zertifikaten unter Windows lesen.

  • Aktualisieren von SHA-1 zu SHA-2

    Zertifizierungsstellen ist seit Januar 2016 das Ausstellen neuer SHA-1-Zertifikate untersagt. Die Benutzer sollten sicherstellen, dass ihre Zertifizierungsstellen den SHA-2-Hashalgorithmus verwenden, um SHA-2-Zertifikate von ihren Zertifizierungsstellen zu beziehen. Hinweise zum Signieren von Code mit SHA-2-Zertifikaten finden Sie unter Erzwingung von SHA-1-Zertifikaten unter Windows.

    Auswirkung der Aktion: Ältere hardwarebasierte Lösungen müssen u. U. aktualisiert werden, um diese neueren Technologien unterstützen zu können.

  • Laufende Aktualisierung von Windows

    Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Windows Update, überprüfen Sie den Computer auf verfügbare Updates, und installieren Sie alle Updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie „Automatische Updates“ aktiviert haben, werden Ihnen die Updates zwar zugestellt, sobald sie veröffentlicht werden, aber Sie müssen sicherstellen, dass die installiert werden.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (9. Mai 2017): Die Empfehlung wurde veröffentlicht.

Seite generiert am 02.05.2017 um 10:27-07:00.
Anzeigen: