Die Hysterie vor dem vermeidlich großen Millenium-Crash vor 17 Jahren hat viele cool werden lassen. Was kann schon groß passieren, wenn die Uhr auf das neue Jahr springt? Für Shopbetreiber, die immer noch SHA-1-Zertifikate nutzen, einiges. Im schlimmsten Falle Abmahnungen, aber ganz sicher erhöhte Abbruchraten, wenn der Besuch der Seite als unsicher eingestuft wird. Persönliche Bankdaten gibt man freiwillig nicht mehr raus, was für den Betreiber in jeder Beziehung teuer werden kann. Zur sicheren Verschlüsselung von Daten werden SSL-Zertifikate eingesetzt, die bis dato mit dem Hash-Algorithmus SHA-1 und SHA-2 signiert wurden. SHA steht für „Secure Hash Algorithm“. Diese SSL-Verschlüsselung erlaubt auch bei größeren Datenmengen an Hand der Hash-Werte eine eindeutige Verifizierbarkeit, dass die Daten nicht während der Übertragung manipuliert wurden. SHA-1 wurde bereits 1993 zertifiziert. SHA-2 gibt es auch schon seit 2002, dennoch wird er als sicher und damit als SSL zulässig eingestuft.

Der zukünftige Kryptostandard wird sicherlich auf SHA-3 liegen. Seit 2012 ist dieses Zertifikat seitens der NIST zugelassen. Allein für SHA-2 gibt es vier kryptologische Hash-Funktionen: SHA-224, 256, -384 und 512 beschreiben die jeweilige Länge des Hashwertes in Bit an. Jede der vier Klassen gilt bis heute als sicher. SHA-1 seit 31. Dezember 2016 eben nicht mehr.

Richter im Netz sind Microsoft, Google und Mozilla sowie diverse Entwickler. Allen voran hat Google seit Browserversion Chrome 39 als „secure, but with minor errors“ also „sicher mit kleinen Fehlern“ getadelt. Angezeigt war es mit dem gelben Dreieck auf dem Schloss in der Adressleiste.

In der Chrome 40 wird es mahnend rot. Das Schloss ist rot geXt und https rot durchgestrichen. Dazu die alarmierende Meldung „affirmatively insecure, major errors“

Die meisten Shopbetreiber haben im letzten Jahr längst auf Dualbetrieb umgeswitched und SHA-2 parallel zum auslaufenden SHA-1 als SSL-Verschlüsselung installiert. Die Anforderungen an die Systeme sind überschaubar, doch müssen sie ganz besonders im Windowsumfeld gewährleistet sein.

Für Windows Server 2003 gibt es entsprechende Hotfixes, damit SHA-2 problemlos läuft. Auch für das jüngere Windows Server 2008 (R2) sind im Vorfeld Hotfixes zu installieren. Wer unter Windows XP das Service Pack 3 (SP3) Installiert hat, kann SHA-2 mit Ausnahme von SHA-224 problemlos nutzen. Für ältere Outlook-Versionen (2003/2007) können SHA-signierte Mails nicht und dem 2er-Standard versendet werden. Das gilt auch für den Thunderbird 24 und IBM Notes 9.

Die meisten werden mit deutlich jüngeren Systemlandschaften unterwegs sein. Dennoch gibt es laut Einschätzung der eco mehr als 30.000 Server, die noch SHA-1 Zertifikate nutzen. Betroffene Shops verspielen nicht nur die Gunst ihrer Kunden. Vielmehr droht weiterer Schaden durch rechtskräftige Abmahnungen. Falsch oder unvollständig eingebundene SHA-2-Zertifikate führen unweigerlich zu ähnlichen Problemen. Hier macht ein gewissenhafter Check mit unterschiedlichen Systemen in den gängigen Browsern Sinn.