Aktuelle Browser-Versionen (derzeit beispielsweise Chrome und Firefox) verweigern den verschlüsselten Verbindungsaufbau mit Servern, deren Zertifikate mit dem SHA-1 Hash-Algorithmus erzeugt worden sind. Anwender erhalten Fehlermeldungen wie "Diese Verbindung ist nicht sicher" oder "not secure", Fehlercode:
SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED.
Zur sicheren Übertragung von Daten, insbesondere von Zugangsdaten, im Internet werden Serverzertifikate verwendet, die von offiziellen Zertifizierungsstellen, den Certification Authorities (CA), ausgestellt werden. Die CA der Ruhr-Universität stellt Mitgliedern und Angehörigen Zertifikate des DFN-Vereins zur Verfügung.
Der mittlerweile geknackte Hashalgorithmus SHA-1 wurde bis vor einiger Zeit noch zur Erstellung der Signatur von Zertifikaten verwendet. Diese Schwäche ermöglicht sogenannte Man-in-the-Middle-Attacken: Anwender geben in gutem Glauben an die Verschlüsselung des Browsers (erkennbar am Aufruf https://... und dem Schloss-Symbol) ihre Passwörter oder Kontoinformationen ein, die dann vom „Mann in der Mitte“ unbefugt mitgelesen, gespeichert, verkauft oder anders missbraucht werden können. Browser-Hersteller haben in der Vergangenheit nur dezente Warnungen für solche Webseiten ausgegeben, die auch aufmerksame Websurfer leicht übersehen konnten.
Noch immer verfügt eine Vielzahl von Servern über veraltete Zertifikate. Diese Server werden jetzt von den großen Browser-Herstellern ausgesperrt; der verschlüsselte Verbindungsaufbau zu betroffenen Servern ist nicht mehr möglich. Anwender können die betroffenen Webseiten nur erreichen, wenn sie explizit der als nicht sicher eingestuften Verbindung zustimmen.
Können Sie eine Seite nicht aufrufen, weil das Serverzertifikat veraltet ist, informieren Sie doch den Betreiber der Webseite. Der potentiell unsicheren Verbindung zuzustimmen, ist nur die zweitbeste Lösung. Falls Sie dennoch die Seite verwenden müssen, sollten Sie diese Ausnahme keinesfalls dauerhaft speichern.
Die Browser-Fehlermeldung verunsichert Besucher betroffener Webseiten. Überprüfen Sie den Zustand Ihrer Serverzertifikate, z.B. mit Hilfe der Server-Tests von Qualys SSL Labs. Wegen schwacher Zertifikate in der Zertifikatskette - erkennbar am schwachen Signaturalgorithmus SHA1withRSA für die Zwischenzertifikate Ruhr-Universität Bochum CA und DFN-Verein PCA Global - G01 – ist ein Serverzertifikat nicht ungültig, aber potentiell angreifbar. Erneuern Sie daher betroffene Serverzertifikate. Überprüfen Sie, ob Ihre Webseiten überhaupt eine SSL-Verschlüsselung benötigen.
Weitere Informationen und Hilfestellungen finden Sie auch unter: