Update des SSL-Zertifikats: Wechsel von SHA-1 zu SHA-256

Eine kurze Nachricht für die LastPass-Gemeinschaft:

Bei unseren Bemühungen den LastPass-Benutzern die beste Sicherheit zu bieten, wird das SSL-Zertifikat für LastPass.com heute Nacht von einem SHA-1-Zertifikat in ein SHA-256-Zertifikat geändert. Es wird auch weiterhin ein Thawte Extended Validation-Zertifikat (EV-Zertifikat) sein.

Warum jetzt? Wir haben diesen Prozess schon letztes Jahr angefangen, aber wegen der weiteren Verwendung von älteren XP-Versionen sind unsere Bemühungen ins Stocken geraten. Nun aber Google und auch Anderen proaktiv geworden sind bei der Umsetzung von SHA-256, sind auch wir zuversichtlich, dass wir den Schritt mit minimalen Auswirkungen auf unsere Gemeinschaft machen können.

Alle Änderungen werden hinter den Kulissen stattfinden, sodass LastPass-Benutzer keine Probleme oder Unterbrechungen des Dienstes erfahren sollten. Bemerkungen oder Fragen? Teilen Sie sie uns bitte unten bei den Reaktionen mit oder kontaktieren Sie unsere Kundenbetreuung.

SHA-wie?

Fragen Sie sich worauf die ganze Aufregung sich eigentlich bezieht?

Sie wissen, dass Sie auf das “Schloss”-Symbol und HTTPS am Anfang der Adresszeile der Website achten sollen. Die Zeichen geben an, dass Sie über eine sichere Verbindung mit einer Website verbunden sind. Die sichere Verbindung wird über ein SSL-Zertifikat erstellt (was das “S” am Ende von HTTPS bezeichnet). Das SSL-Zertifikat, ausgegeben von einer Zertifizierungsstelle (auf Englisch “Certificate Authority” oder kurz “CA”), entschlüsselt Ihre Verbindung und verifiziert, dass Sie mit der originalen Website verbunden sind.

Die Zertifizierungsstelle fast das Zertifikat zusammen, indem ein Einweg-Hash-Algorithmus darauf angewandt wird, wonach sie die zusammengefasste Version des Zertifikats kryptografisch “unterschreibt”. Die meisten Websites, die SSL benutzen, wenden den SHA-Algorithmus an, um den Hash zu erstellen, wobei SHA-1 am weitesten verbreitet ist. Die Einweg-Hashes sind einzigartig für jedes Website-Zertifikat. Wenn Ihr Browser das Zertifikat einer Website überprüft, berechnet er selbst den SHA-1-Hash und vergleicht das Ergebnis mit dem unterschriebenen Hash, den die Website zur Verifizierung bereitstellt. Wenn sie übereinstimmen gibt den Browser grünes Licht und wissen Sie, dass Ihre Informationen sicher sind.

Das Problem jetzt ist, dass SHA-1 nicht mehr so stark ist wie er mal war. Da Computer schneller und billiger geworden sind, ist das Risiko größer geworden, dass Angreifer ein Zertifikat fälschen könnten und den Browser in die Irre führen könnten die Verbindung für eine sichere Verbindung anzusehen.

Anbieter wechseln jetzt zu dem stärkeren SHA-2-Algorithmus der nächsten Generation, um die Sicherheit zu verbessern und Sie vor Angreifern zu schützen. SHA-2 erstellt längere Hashes und ist beständig gegen Angriffe, die in der Lage sind SHA-1 zu knacken. Wenn Sie Chrome benutzen, haben Sie vielleicht schon Zertifikatwarnungen gesehen mit gelben Schlosssymbolen, die eine Folge der Bemühungen von Google sind SHA-1-Zertifikate herauszuleuchten und das Web aufzufordern zu SHA-2 zu wechseln.

Am Ende des Tages, hat der Übergang keinen Einfluss auf Ihre Benutzererfahrung als LastPass-Benutzer, aber unterstützt uns desto mehr bei unserer Aufgabe Ihre Daten auch in einem weiterentwickelnden Internet sicher zu halten. Es ist derselbe LastPass, mit noch mehr Sicherheit.

 

Vielen Dank fürs Zuhören,

Die Lastpass-Team