35 Prozent der Webseiten weltweit nutzen nach aktuellen Forschungsergebnissen der Venafi Labs noch immer unsichere SHA-1 Zertifikate. Diese Einschätzung beruht auf den öffentlichen Bekanntmachungen von Microsoft, Mozilla und Google, dass sie Webseiten, die über Januar 2017 hinaus SHA-1 nutzen, nicht länger vertrauen werden. Ab Februar 2017 kommen zu diesen Anbietern noch Chrome, Firefox und Edge dazu.
Im Ergebniss werden Transaktionen und Datenverkehr von Webseiten auf verschiedenste Art und Weise gefährdet:
- In Browsern werden Warnungen an die Nutzer eingeblendet, dass die Webseiten nicht sicher sind und schlagen außerdem dem Nutzer vor nach Alternativen zu suchen.
- Die Suchmaschinen werden außerdem nicht das „grüne geschlossene Vorhängeschloss“ neben der Adressezeile von HTTPS anzeigen.
- Webseiten werden Performance-Probleme melden, in einigen Fällen wird der Zugang zu Webseiten vielleicht sogar komplett geblockt.
Neben den Beiträchtigungen für die User droht eine Überlastung der Service-Abteilungen bei Unternehmen die weiterhin SHA-1 Zertifikate im Einsatz haben. Es ist wahrscheinlich, dass die Umstellung zu einer deutlichen Zunahme von Helpdesk-Calls führen werden. Darüber hinaus besteht die Gefahr von Umsatzrückgängen, wenn Waren über solche Webseiten verkauft werden. Langfristig sind zudem noch Imageschäden möglich, wenn Dienste ausfallen.
Walter Goulet, Product Manager Cloud Solutions bei Venafi, kommentiert: „Die Ergebnisse unserer Analyse zeigen, dass während die am meisten wichtigsten Webseiten gute Arbeit bei der Migration von SHA-1 Zertifikaten geleistet haben, eine signifikante Anzahl noch immer auf SHA-1 Zertifikate setzt. Verglichen mit dem „Netcraft’s September 2016 Web Server Survey“ gibt es 173 Millionen aktive Webseiten. Wenn wir uns die Ergebnisse unserer Recherche ansehen, dann nutzen mehr als 61 Millionen Webseiten noch immer solche veralteten Zertifikate.“
Digitale Zertifikate dienen als Grundlage zur Erstellung von Schlüsseln für die Codierung des Datenverkehrs zwischen Nutzern und Webseiten. Verschlüsselung ist hier Voraussetzung für eine private und sichere Kommunikation. Digitale Zertifikate verifizieren außerdem, dass die aufgerufene Webseite legitim ist. Alle Webbrowser nutzen Zertifikate um festzulegen, wem während des Online-Austauschs vertraut und nicht vertraut werden kann.
Besonders beim Austausch von sensiblen Daten wie E-Commerce und Online-Banking ist daher die Pflege von Zertifikaten wichtig: SHA-1-Hashing-Algorithmen sind zu schwach und lassen sich einfach manipulieren. Beispielsweise sind SHA-1 Zertifikate gegenüber Collision-Attacken verwundbar, die Cyber-Kriminellen erlauben Zertifikate zu schmieden und Man-in-the-Middle-Attacken auf TLS-Verbindungen auszuführen. SHA-2-Algorithmen lösen diese Probleme, aber Venafi Labs Recherchen zeigen, dass viele Unternehmen sich immer noch mit diesem Update beschäftigen. Dadurch sind sie offen für Sicherheitsvorfälle, Compliance-Probleme und Ausfälle sowie Auswirkungen auf Verfügbarkeit und Verlässlichkeit.
„Unsere gesamte Online-Welt basiert auf einem System des Vertrauens, dass auf Zertifikaten aufgebaut ist. Unternehmen haben daher eine Verpflichtung dafür zu sorgen, dass das Problem gelöst wird,“ kommentiert Kevin Bocek, Chief Security Strategist bei Venafi. „SHA-1 Zertifikate im Einsatz zu belassen, kommt einer offenen Tür für Einbrecher gleich – man weißt den Cyberkriminellen geradezu einen garantieren Weg zum Erfolg.“
Bocek zeigt außerdem auf: „Im Durchschnitt nutzt jedes Unternehmen 23.000 Schlüssel und Zertifikate und die meisten Organisationen haben keine Möglichkeit einen Überblick darüber zu bekommen, wie viele SHA-1 Zertifikate sie eigentlich einsetzen. Das heißt, dass eine Migration zu SHA-2 komplex und chaotisch sein kann und im Ergebnis haben viele Unternehmen bereits den Kopf in den Sand gesteckt. Unglücklicherweise können sie sich ab Januar 2017 nicht mehr verstecken. Meine Empfehlung ist, jetzt einen Plan aufzusetzen, denn wenn es erst einmal soweit ist, wird es eher noch schwerer werden, wenn erst einmal alles zusammenbricht.“
Die Ergebnisse von Venafi Labs basieren auf ausgewerteten Daten von 11 Millionen öffentlich sichtbaren IPv4-Webseiten, die mit Trustnet, einer weltweiten Datenbank für Echtzeit Zertifikate-Intelligenz, untersucht wurden. (Venafi)