Venafi Labs Untersuchung belegt: 35 Prozent der Webseiten weltweit nutzen nach aktuellen Forschungsergebnissen der Venafi Labs noch immer unsichere SHA-1 Zertifikate. Für die Migration auf SHA-2 sind nur noch 45 Tage Zeit - viele Webseiten droht Ausfall zum Neujahr.
Diese Einschätzung beruht auf den öffentlichen Bekanntmachungen von Microsoft, Mozilla und Google, dass sie Webseiten, die über Januar 2017 hinaus SHA-1 nutzen, nicht länger vertrauen werden. Ab Februar 2017 kommen zu diesen Anbietern noch Chrome, Firefox und Edge dazu.
Im Ergebniss werden Transaktionen und Datenverkehr von Webseiten auf verschiedenste Weise gefährdet:
- In Browsern werden Warnungen an die Nutzer eingeblendet, dass die Webseiten nicht sicher sind und schlagen außerdem dem Nutzer vor nach Alternativen zu suchen.
- Die Suchmaschinen werden außerdem nicht das „grüne geschlossene Vorhängeschloss“ neben der Adressezeile von HTTPS anzeigen, die Nutzer aber weiterhin darauf vertrauen und annehmen, dass eine Verbindung nicht mehr sicher und privat ist.
- Webseiten werden Performance-Probleme melden, in einigen Fällen wird der Zugang zu Webseiten vielleicht sogar komplett geblockt.
Neben den Beiträchtigungen für die User droht eine Überlastung der Service-Abteilungen bei Unternehmen die weiterhin SHA-1 Zertifikate im Einsatz haben. Es ist wahrscheinlich, dass die Umstellung zu einer deutlichen Zunahme von Helpdesk Calls führen werden. Darüber hinaus besteht die Gefahr von Umsatzrückgängen, wenn Waren über solche Webseiten verkauft werden. Langfristig sind zudem noch Imageschäden möglich, wenn Dienste ausfallen.
Digitale Zertifikate dienen als Grundlage zur Erstellung von Schlüssen für die Codierung des Datenverkehrs zwischen Nutzern und Webseiten. Verschlüsselung ist hier Voraussetzung für eine private und sichere Kommunikation. Digitale Zertifikate verifizieren außerdem, dass die aufgerufene Webseite legitim ist. Alle Webbrowser nutzen Zertifikate um festzulegen, wem während des Online-Austauschs vertraut und nicht vertraut werden kann.
Besonders beim Austausch von sensiblen Daten wie eCommerce und Online-Banking ist daher die Pflege von Zertifikaten wichtig: SHA-1 Hasching-Algorithmen sind zu schwach und lassen sich einfach manipulieren. Beispielsweise sind SHA-1 Zertifikate gegenüber Collision Attacken verwundbar, die Cyber-Kriminellen erlauben Zertifikate zu schmieden und Man-in-the-Middle-Attacken auf TLS Verbindungen auszuführen.
SHA-2 Algorithmen lösen diese Probleme, aber Venafi Labs Recherchen zeigen, dass viele Unternehmen sich immer noch mit diesem Update beschäftigen. Dadurch sind sie offen für Sicherheitsvorfälle, Compliance-Probleme und Ausfälle sowie können Auswirkungen auf Verfügbarkeit und Verlässlichkeit haben.
„Unsere gesamte Online-Welt basiert auf einem System des Vertrauens, dass auf Zertifikaten aufgebaut ist. Unternehmen haben daher eine Verpflichtung dafür zu sorgen, dass das Problem gelöst wird,“ kommentiert Kevin Bocek, Chief Security Strategist bei Venafi. „SHA-1 Zertifikate im Einsatz zu belassen kommt einer offenen Tür für Einbrecher gleich – Man weißt den Cyberkriminellen geradezu einen garantieren Weg zum Erfolg.“
Die Ergebnisse von Venafi Labs basieren auf ausgewerteten Daten von 11 Mio. öffentlich sichtbaren IPv4 Webseiten, die mit TrustNet, einer weltweiten Datenbank für Echtzeit Zertifikate-Intelligenz, untersucht wurden.