Verschlüsselung im Netz ist im Wandel. Seit Mitte des Jahres wird der Wechsel auf den neuen Standard SHA-2 vorangetrieben. SSL-Zertifikate, die mit dem Hash-Algorithmus SHA-1 signiert wurden, werden künftig von Betriebssystemen und Webbrowsern als nicht mehr sicher eingestuft. Ein Grund dafür, dass die Umstellung jetzt beschleunigt wird, ist, dass die Kosten für eine Attacke auf SHA-1-Algorithmus gesunken sind. Bei einer Attacke versuchen Angreifer in der Regel, Kollisionen zu erzeugen – also einen eigenen Schlüssel mit dem gleichen Hash-Wert, wie den des Ziels zu generieren. Schon 2004 hatten Forscher dazu eine mathematische Methode beschrieben, lange galt das Modell aber wegen der dafür notwendigen hohen Ressourcen nur als theoretischer umsetzbar. Dank des technologischen Fortschritts gehen Experten aber davon aus, dass sich die dafür notwendige Rechenleistung inzwischen für eine Summe zwischen 75.000 und 120.000 Dollar einkaufen lässt – je nach Ziel, eine lohnende Investition.

Führende Unternehmen erhöhen den Druck

Eine häufige Ursache für die noch immer weite Verbreitung von SHA-1 ist, dass Webseiten-Betreiber ihre Zertifikate von Certificate Authorities (CA) beziehen, deren Zertifikate in den gängigen Browsern vorinstalliert sind und als vertrauenswürdig gelten. Einige der Unternehmen hinter diesen Browsern erhöhen jetzt den Druck: Microsoft hatte ursprünglich angekündigt, SHA-1 zum 1. Januar 2017 in seinen Produkten nicht mehr zu akzeptieren. Diesen Termin hat das Unternehmen jetzt auf den 1. Juni 2016 vorverlegt. Damit reagiert Microsoft auf Mozilla, die SHA-1 ebenfalls zum Januar 2017 nicht mehr unterstützen wollten – nachdem aber verschiedenen Meldungen über Sicherheitsbedenken die Runde machten, die Entscheidung um ein halbes Jahr vorgezogen haben. Mozillas Browser Firefox soll ab Version 43 eine Meldung anzeigen, wenn eine Seite mit einer SHA-1-Verschlüsselung aufgerufen wird. Googles Browser Chrome wendet diese Warnung schon jetzt an. Erst wenn der Nutzer bestätigt, dass er die Seite besuchen möchte, wird er weitergeleitet und selbst danach weist der Browser in der Adresszeile darauf hin, dass eine unsichere Verbindung besteht. Seitenbreiter, die noch den SHA-1-Algorithmus verwenden, droht daher ein massiver Traffic-Einbruch. Chrome gilt als der meistgenutzte Browser weltweit. Google verfolgt damit seine Strategie, Verschlüsselung im Netz zum weltweiten Standard zu erheben. Bisher werden nur geschätzte drei Prozent aller Inhalte verschlüsselt übertragen. Allein die Ankündigung von Google, Verschlüsselung in das Ranking der Suchergebnisse einfließen zu lassen, hat dem Bewusstsein für das Thema einen Schub gegeben.

Endnutzer achten auf das Schloss-Symbol

Mittlerweile achten auch immer mehr Endnutzer auf eine ausreichende Verschlüsselung. Der Sicherheitsspezialist Symantec hat sich anlässlich des bevorstehenden Weihnachtsgeschäfts in einer repräsentativen Befragung Online-Kunden in Europa und den USA nach deren Sicherheitsbedenken erkundigt und welche Auswirkungen diese auf ihr Kaufverhalten haben. Demnach machen sich 43 Prozent der Befragten Sorgen um die Sicherheit bei Online-Käufen. Mehr als die Hälfte, 62 Prozent, haben sogar schon einen Kauf abgebrochen, weil sie der Website nicht vertraut haben. Dagegen achten Symantec zufolge 61 Prozent der Umfrageteilnehmer bei Online-Käufen auf die Adressleiste. Fast 80 Prozent der Befragten fühlten sich sicher, wenn das Schlosssymbol im Browser zu sehen sei.