[Public] SHA-1 be gone

Ralf Jung post at ralfj.de
Sa Nov 7 10:06:17 CET 2015


Hallo,

die Einschläge rund um SHA-1 kommen näher, siehe z.B.
<http://www.heise.de/security/meldung/Todesstoss-fuer-SHA-1-steht-bevor-2849484.html>.
Es wird Zeit, sich von der Idee zu verabschieden, dass SHA-1 ein
kryptografisch sicherer Hash ist.

Die Zertifikats-Kette unseres Servers ist nun komplett mit SHA-256
(einem der vielen Modi von SHA-2) signiert, siehe
<https://www.ssllabs.com/ssltest/analyze.html?d=hacksaar.de>.
Wir schlagen in dieser Bewertung viele Online-Shops und Banken und so :)

Falls ihr selbst HTTPS-Server betreibt, könnt ihr unter
<https://www.ssllabs.com/ssltest/index.html> feststellen, ob da SHA-1
irgendwo in der Kette ist - und falls das der Fall ist, solltet ihr
schauen, dass ihr das loswerdet. StartSSL zum Beispiel hat auch
SHA-2-basierte Zertifikate seiner Intermediate CAs, und ich hoffe mal
stark, dass das bei CACert ähnlich ist. SHA-1 wird noch an allen
möglichen und unmöglichen Enden diverser Protokolle genutzt, das wird
also seine Zeit dauern, bis wir das los sind - daher sollten man besser
früh als spät damit anfangen.

Ansonsten, fröhliches Verschlüsseln!

Viele Grüße,
Ralf


Mehr Informationen über die Mailingliste Public