Die nächste Phase der SHA-1-Abschaltung durch die Web-Browser steht ab Anfang 2017 ins Haus:

• Für Mozilla/Firefox ist aktuell der Stichtag 24.01.2017 bekannt, an dem das Firefox 51 Release erscheinen soll.
• Für Microsoft ist aktuell der Stichtag 14.02.2017 bekannt, an dem Microsoft ein entsprechendes Software-Update herausgeben will.
• Für Google/Chrome ist aktuell der 31.01.2017 bekannt, an dem das Chrome 56 Release erscheinen soll.

Konkret bedeutet das, dass nach dem jeweiligen Stichtag Microsoft-Systeme bzw. Mozilla/Firefox und Google/Chrome Web-Browser (jeweils aktuelle Software vorausgesetzt) mit einer Zertifikatsfehlermeldung vor TLS/SSL-Verbindungen zu Servern warnen, falls diese immer noch ein altes SHA-1-Server-Zertifikat oder SHA-1-Zwischen-CA-Zertifikat der öffentlich vertrauten DFN-PKI „Global“ präsentieren.

Das mit einer SHA-1-Selbstsignatur versehene Wurzel-CA-Zertifikat „Deutsche Telekom Root CA 2“ der ersten DFN-PKI Global Generation muss auch weiterhin nicht ausgetauscht werden (siehe Erläuterung in der FAQ). Das Wurzel-CA-Zertifikat „T-TeleSec GlobalRoot Class 2“ der neuen DFN-PKI Global Generation trägt bereits eine SHA-256-Selbstsignatur.

Weiteres zum Thema:

• Alte SHA-1-Serverzertifikate in der Java RA-Oberfläche identifizieren
• Wie lässt sich feststellen, ob auf einem Server ein SHA-1-Zertifikat installiert ist?

(rkm, 02.12.2016)