eco warnt Online-Shops mit SHA-1-Zertifikat vor Umsatzeinbrüchen

BrowserWorkspace
Zertifikatsfehlermeldung Chrome (Screenshot: ZDNet.de)

Der Verband eco rät Online-Shops mit SHA-1-Zertifikat dringend ihr Sicherheitszertifikat umzustellen. Er verweist auf Schätzungen, nach denen bei rund 30.000 Servern in Deutschland immer noch das Hash-Verfahren SHA-1 im Einsatz ist.

Eco – Verband der Internetwirtschaft e. V. empfiehlt Online-Shops dringend ihr Sicherheitszertifikat zu überprüfen und umzustellen, sofern nach wie vor noch nicht geschehen. Beim Aufruf von Websites, die mit dem Sicherheitszertifikat SHA-1 arbeiten, wird künftig die Fehlermeldung “This page is insecure (broken HTTPS) SHA-1 Certificate” erscheinen, warnt der Verband. Dabei steht die Abkürzung SHA für “Secure Hash Algorithm” – eine kryptografische Prüfsumme für eine Nachricht oder Datei, die deren Integrität sicherstellt. Der Verband verweist auf Schätzungen, nach denen bei rund 30.000 Servern in Deutschland das Hash-Verfahren SHA-1 im Einsatz ist, darunter viele Online-Shops. Laut eco ist seit über zehn Jahren bekannt, dass SHA-1 Sicherheitsprobleme aufweist und alle namhaften Browser werden HTTPS-Zertifikate, die eine Signatur mit SHA-1 aufweisen, ab dem 1. Januar 2017 nicht mehr unterstützen.

Zertifikatsfehlermeldung Chrome (Screenshot: ZDNet.de)

“Bei Shops, die mit SHA-1 arbeiten, könnte es ab Januar zu einem erheblichen Umsatzeinbruch kommen, weil kaum jemand die Fehlermeldung im Browser ignorieren wird”, warnt Oliver Dehning, Leiter der eco-Kompetenzgruppe Sicherheit.

Googles Chrome zeigt bereits jetzt das Schlosssymbol in der Adresszeile anders an, um auf das Sicherheitsproblem hinzuweisen. Während die Symboländerung häufig ignoriert wird, sollen künftig unmissverständliche Warnmeldungen erscheinen. Allerdings soll die Umstellung bei Microsoft, Mozilla und wohl auch Google nicht automatisch am 1. Januar erfolgen, sondern mit dem nächsten Browser-Update im neuen Jahr.

“Die Übergangsfrist mag bis Ende Januar oder sogar bis Ende Februar laufen, aber es ist den Website-Betreibern doch sehr zu empfehlen, sich noch in diesem Jahr vielleicht direkt nach dem Weihnachtsgeschäft von SHA-1 zu verabschieden”, empfiehlt Dehning.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.