Google Chrome beendet Unterstützung für SSL-Zertifikate

Google beendet die Unterstützung für SSL-Zertifikate mit dem Hash-Algorithmus SHA-1. HTTPS-Seiten, die SHA-1-Zertifikate beinhalten und welche zum oder nach dem 01.01.2017 gültig sind, werden somit als nicht mehr vertrauenswürdig angezeigt.

Wenn Sie für Ihre Trackrequests eine eigene Subdomain auf HTTPS-Seiten benutzen, wie zum Beispiel die eigene Trackdomain bei Webtrekk, müssen Sie in den meisten Fällen ein eigenes Zertifikat auf den Trackservern Ihres Web Analyse Anbieters einrichten lassen.
Wenn diese Zertifikate nicht Googles Anforderungen entsprechen wird zukünftig im HTTPS-Bereich ein Hinweis erscheinen, dass die Seite nur teilweise bzw. gar nicht sicher ist.

Das Vertrauen der Kunden in die Sicherheit Ihrer Webseite ist nach wie vor noch einer der wichtigsten Faktoren für eine gute Conversion Rate. Um hier nicht unnötig Vertrauen zu verschenken, sollten Sie daher rechtzeitig entsprechende Maßnahmen zur Erneuerung Ihrer Zertifikate ergreifen; sowohl für eine eventuell vorhandene eigene Trackdomain als auch für Ihre gesamte Webseite.

Als ersten Schritt beabsichtigt Google, die Vertrauenssymbole im Browser Chrome abzuschwächen und Warnmeldungen anzuzeigen, sobald eine Webseite mit einem solchen Zertifikat aufgerufen wird. Dies läuft voraussichtlich ab Version 39 von Chrome an, welche für September 2014 geplant ist.

Maßnahmen:

  1. Um herauszufinden, welche Ihrer Zertifikate SHA-1 nutzen, verwenden Sie die SSL Toolbox.
  2. Ersetzen Sie Zertifikate mit SHA-1, die nach dem 31. Dezember 2015 ablaufen, kostenlos durch Zertifikate mit SHA-2.

Hinweis: Root-Zertifikate mit SHA-1 sind nicht von dieser Änderung betroffen.

Timeline zur schrittweisen Einstellung der SHA-1 Zertifikate:

Chrome 39 (voraussichtlich zum 26.09.2014):
Webseiten mit Endzertifikaten (end entity), welche zum oder nach dem 01.01.2017 auslaufen, und welche SHA-1-basierte Signaturen als Teil der Zertifizierungskette beinhalten, werden behandelt als „secure, but with minor errors“.
Das aktuelle visuelle Symbol für diesen Status ist ein Schloss mit gelbem Dreieck (siehe Bild) und dient zur Kennzeichnung von veralteten und unsicheren Anwendungen.

sha1-bild-3

Chrome 40 (voraussichtlich zum 07.11.2014):
Webseiten mit Endzertifikaten, welche zwischen dem 01.06.2016 und dem 31.12.2016 auslaufen, und welche SHA-1-basierte Signaturen als Teil der Zertifikatskette beinhalten, werden behandelt als „secure, but with minor errors“.
Webseiten mit Zertifikaten, welche zum oder nach dem 01.01.2017 auslaufen, und welche SHA-1-basierte Signaturen als Teil der Zertifizierungskette beinhalten, werden behandelt als „neutral, lacking security“.
Das aktuelle visuelle Symbol für diesen Status ist ein leere-Seite-Icon (siehe Bild) und wird ebenfalls in Benutzung mit HTTP verwendet.

sha1-bild-2

Chrome 41 (voraussichtlich zum Q1 2015):
Webseiten mit End-entity Zertifikaten, welche zwischen dem 01.01.2016 und dem 31.12.2016 auslaufen, und welche SHA-1-basierte Signaturen als Teil der Zertifizierungskette beinhalten, werden behandelt als „secure, but with minor errors“.
Webseiten mit Endzertifikaten, welche zum oder nach dem 01.01.2017 auslaufen, und welche SHA-1-basierte Signaturen als Teil der Zertifikatskette beinhalten, werden behandelt als „affirmatively insecure, major errors“.
Das aktuelle visuelle Symbol für diesen Status ist ein Schloss mit einem roten Kreuz und einem roten Durchstrich.

sha1-bild

Wenn Sie Anmerkungen zu diesem Thema haben oder mehr Informationen wünschen, so nutzen Sie bitte die Kommentarfunktion am Ende dieses Beitrages. Gern können Sie auch über unser Kontaktformular mit uns in Verbindung treten!

Quelle: googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html