Hallo Leutz,<\/p>\n
Microsoft hat in dem Blogeintrag http:\/\/blogs.technet.com\/b\/pki\/archive\/2013\/11\/12\/sha1-deprecation-policy.aspx<\/a>\u00a0heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze: Fuer PKI-Administratoren \/ Webserver-Administratoren bedeutet dass: Gruss Marc<\/p>\n","protected":false},"excerpt":{"rendered":" Hallo Leutz, Microsoft hat in dem Blogeintrag http:\/\/blogs.technet.com\/b\/pki\/archive\/2013\/11\/12\/sha1-deprecation-policy.aspx\u00a0heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze: Juli 2015 – Microsoft wird in diesem Zeitraum neue … Continue reading
\nJuli 2015 – Microsoft wird in diesem Zeitraum neue Informationen \/ Richtlinien veroeffentlichen, wie mit der SHA1 Abloesung durch SHA2 umzugehen ist
\n01.01.2016 – CA Anbieter, welche Mitglied im Windows Root CA Programm sind, muessen ab diesem Zeitpunkt SHA2 Zertifikate ausstellen
\n01.01.2016 – Windows akzeptiert keine Code Signing Zertifikate mehr, welche auf SHA1 basieren und KEINEN Zeitstempel besitzen. Code Signing Zertifikate mit Zeitstempel vor 01.01.2016 werden weiterhin akzeptiert bis Microsoft entscheidet, dass diese Zertifikate angreifbar fuer “Pre-Image-Attacken” sind
\n01.01.2017 – Windows akzeptiert ab diesem Zeitpunkt keine SSL-Zertifikate mit SHA1
\n01.01.2017 – Webserver Administratoren \/ CA Administratoren muessen neue Zertifikate fuer alle ausgestellten SSL und Code Signing Zertifikate mit SHA1 ausstellen und sicherstellen das SHA2 verwendet wird.<\/p>\n
\n1)\u00a0Zeitnah alle Anwendungen und Dienste zu evaluieren, welche SSL und CodeSigning Zertifikate mit SHA1 verwenden und pruefen, ob diese durch SHA2 Zertifikate ausgetauscht werden koennen
\n2) Neue PKI Implementierungen gleich mit SHA2 (CNG) Support etablieren, wobei auch hier vorher die Auswirkungen auf die IT Infrastruktur zu beruecksichtigen sind
\n3) Migrationswege zur “Migration” vorhandener CA\u00a0auszuarbeiten, welche\u00a0noch nicht zur Verwendung von CNG Algorithmen konfiguriert sind. Je nach verwendetem CSP (z. B. Microsoft Strong Cryptographic Provider)\u00a0kann es sehr aufwaendig werden, eine\u00a0existierende CA auf CNG umzustellen (z. B.: http:\/\/www.it-training-grote.de\/download\/WindowsCA-SHA1-SHA256.pdf<\/a>)<\/p>\n