In Sicherheitskreisen setzt sich die Auffassung durch, dass der SHA-1-Hash-Algorithmus nicht mehr sicher ist. Angreifer könnten Schwachstellen in SHA-1 nutzen, um Inhalte zu fälschen und Phishing-Attacken oder Man-in-the-Middle-Angriffe auszuführen. Microsoft hat deshalb mit anderen Unternehmen der Branche einen Plan zur schrittweisen Ablösung von SHA-1 entwickelt. Gleichzeitig werden Anwender vor den möglichen Risiken gewarnt, die beim Besuch von Webseiten mit SHA-1-Zertifikat lauern.
In Phase 1 entfernen wir das Schlosssymbol in der Adressleiste von Microsoft Edge und Internet Explorer, wenn eine Website mit SHA-1-Zertifikat besucht wird. Phase 2 beginnt am 14.2.2017: Microsoft Edge und Internet Explorer werden dann schon das Laden von Websites mit SHA-1-Zertifikat verhindern und eine Warnung zu dem ungültigen Zertifikat ausgeben. In Phase 3 schließlich wird Windows in allen Zusammenhängen SHA-1 als unsicher betrachten.
Als Administrator von Websites sollten Sie sicherstellen, dass die Hash-Algorithmen Ihrer Seiten rechtzeitig aktualisiert werden. In unserer SHA-1 User Guidance (PDF) finden Sie dazu nützliche Tipps. Weitere Details finden Sie in der folgenden Checkliste und unter http://aka.ms/sha1 (engl.)
