Seit Mitte 2014 ist SHA-2 der Standard-Algorithmus für Signaturen in Zertifikaten der DFN-PKI. Der inzwischen veraltete Algorithmus SHA-1 wird nur noch ausnahmsweise verwendet, insbesondere aus Kompatibilitätsgründen für älteren Geräte.
In Übereinstimmung mit den Regeln des CA/Browser-Forums ist ab 30.12.2015 die Verwendung von SHA-1 zur Signatur von Zertifikaten im Sicherheitsniveau Global in der DFN-PKI auch ausnahmsweise nicht mehr möglich.
Bitte beachten Sie auch, dass insbesondere Google Chrome die Warnmeldungen in der Adresszeile beim Auftreten eines SHA-1-signierten Zertifikats in der Zertifizierungskette eines Servers in letzter Zeit deutlich verschärft hat.
Wir raten dringend dazu, noch in Betrieb befindliche SHA-1-Serverzertifikate auszutauschen. Dabei muss auch die gesamte Zertifizierungskette auf dem betreffenden Server mit ausgetauscht werden.
Weitere Informationen: https://www.pki.dfn.de/faqpki/faqpki-sha2/
(jbr, 13.11.2015)