PayPal geht auf Zertifikate mit SHA-256 über

19.05.2016 | Petra Alm

PayPal stellt in den Online-Zahlungssystemen einen Spitzenreiter dar und während der 16 Jahre seiner Existenz hat er sich eine unerschütterliche Position einer von den meist ausgenutzten Zahlungsmethoden aufgebaut. Im Grunde wird er von allen Händlern und E-Shops im Internet unterstützt. In dem heutigen Artikel schauen wir uns den Übergang von PayPal auf Zertifikate mit SHA-256 und die Bedeutung dieser Änderung für seine Kunden an. Sie erfahren auch, wie Sie nach dem Muster von PayPal Ihr Zertifikat mit SHA-1 auf eins mit SHA-256 umstellen können.

Warum SHA-256?

Der Hash Algorithmus in der Signatur der Zertifikate wird aus Sicherheitsgründen geändert, denn der frühere SHA-1 Hash ist nicht stark genug. Es wird angenommen, dass ein Kollision-Angriff schon im Jahre 2018 durchführbar sein wird (weitere Informationen finden Sie in einem Artikel von Bruce Schneier). Deshalb ist es notwendig, einen Hash Algorithmus zu verwenden, der nicht kollidieren kann (es ist nicht möglich, zwei gleiche Abdrucke zu machen) und der nicht missbraucht werden kann.

Die Veränderung des Hash Algorithmus wurde schon lange geplant, Google und Microsoft haben sie jedoch früher verwirklicht, nachdem bekannt wurde, wann die Unterstützung des alten Hashs endet. Über diese Daten haben wir unsere Leser bereits in den Artikeln Google Chrome und SHA-1 Zertifikate - Ende der SHA-1 Signatur und Umstellung von SHA-1 Zertifikaten - FAQ informiert. Die Zertifizierungsstelle Symantec wird ab dem 1.1.2016 kein Zertifikat mit SHA-1 in der Signatur mehr ausstellen und ab 1.1.2017 sollte auch kein Zertifikat mit SHA-1 mehr existieren.

Für die Umstellung der Zertifikate hat PayPal eine gesonderte Webseite mit dem Namen 2015-2016 SSL Certificate Change Microsite geschaffen. Die Veränderung wird vor allem den Dienst Instant Payment Notification (IPN) beeinflussen. Falls Sie diesen Dienst nutzen, muss Ihr Server SHA-256 unterstützen. Das aktuelle Zertifikat, das von der Zertifizierungsstelle VeriSign G2 Root Certificate signiert worden ist, wird der Dienstleister mit einem neueren Zertifikat ersetzen, das von VeriSign G5 Root Certificate ausgestellt wird.

Überprüfen Sie, ob Ihr Server mit SHA-256 arbeiten kann

Nun kennen wir die Gründe, warum nicht nur PayPal, sondern das ganze Internet ein Upgrade der Zertifikate auf SHA-256 vornimmt. Um die Dienste von PayPal  auch weiterhin nutzen oder Ihr aktuelles Webzertifikat verlängern zu können, muss SHA-256 auch auf Ihrem Server unterstützt werden.

Wie können Sie überprüfen, ob Ihr Server mit SHA-256 arbeiten kann? Vergleichen Sie die Version Ihres Servers mit der Tabelle unten. Wir haben für Sie auch eine Liste von Servern, Softwares und Browsern erstellt, die den SHA-256 Hash unterstützen. Hier erwähnen wir nur die bekanntesten Server, Browser und Operationssysteme:

Operationssystem Versionen, die SHA-256 unterstützen Aktuelle Version*
Android 2.3 und neuere 5.1.1
Apple iOS 3.0 und neuere 9.1
Apple OS X 10.5 und neuere 10.11
Windows XP SP3 und neuere 10
Windows Phone 7 und neuere 8
Server Versionen, die SHA-256 unterstützen Aktuelle Version*
Apache 2.0.63 und neuere 2.4
OpenSSL 0.9.8o und neuere 1.0.2d
Windows Server 2003+ mit Patch 938397 2012 R2
Java Server 1.4.2 und neuere  
IBM HTTP Server 8.5 8.5

*Zum Zeitpunkt der Artikelveröffentlichung

Wie Sie in der Übersicht sehen können, befindet sich SHA-256 schon lange in den Softwares und es ist unwahrscheinlich, dass Sie auf einen System oder Server treffen, der den Algorithmus nicht unterstützt.

Stellen Sie auch Ihr Zertifikat auf SHA-256 um – in ein paar Minuten

Wir empfehlen Ihnen, möglichst schnell auf die mit dem SHA-256 Algorithmus signierten Zertifikate überzugehen, vor allem wenn Ihr Zertifikat im Jahre 2016 und später abläuft. Die Unterstützung des älteren Algorithmus wird beendet und ein Zertifikat mit SHA-1 wird Ihnen nur Unannehmlichkeiten bereiten. Die Browser werden es als nicht vertrauenswürdig ansehen und in Kürze werden sie das Zertifikat überhaupt nicht mehr verwenden können.

Für die Mehrheit der Zertifizierungsstellen ist das Datum 1.1.2016 verbindlich. Nach diesem Datum darf die CA kein neues Zertifikat mit dem SHA-1 Algorithmus mehr ausstellen.

SSLmarket kann alle Serverzertifikate mit SHA-256 im ganzen Chain ausstellen. Das bedeutet den SHA-256 nicht nur in dem Intermediate Zertifikat, sondern auch in dem Root Zertifikat. (Ein Root Zertifikat mit SHA-1 ist eigentlich auch in Ordnung, weil es von dem Browser nicht als schwach bezeichnet wird, aber es können Probleme mit seiner Identifizierung als Intermediate Zertifikat und mit der folgenden Warnung des Browsers auftauchen.)

Ihr bestehendes Zertifikat mit SHA-1 können Sie in ein paar Minuten und vollkommen kostenlos auf SHA-2 umstellen. Melden Sie sich bei der Verwaltung Ihres Kundenzentrums an, suchen Sie die Bestellung des betreffenden Zertifikats aus und klicken Sie auf „Neu ausstellen“ im Detail der Bestellung. Schalten Sie SHA-1 auf SHA-256 um, fügen Sie den bestehenden CSR ein und bestätigen Sie die Änderung. Ihr Zertifikat wird nachfolgend noch einmal ausgestellt, kostenlos und mit SHA-256. Auch beide Zertifikate von der Zertifizierungsstelle werden mit SHA-256 signiert. Falls es sich um ein DV-Zertifikat handelt, müssen Sie vor seiner Neuausstellung wieder die Bestätigung per E-Mail durchführen.

Mit der Umstellung auf SHA-256 hilft Ihnen gerne auch unser Kundenservice.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de