Änderungen in Wurzelzertifikaten für Windows
(Windows Root Certificate Program)

(30. 6. 2014) Microsoft hat aktualisierte Anforderungen für Windows Root Certificate Program 2.0 veröffentlicht. Die Version 1.1. wird somit gewechselt und zielt an höherer Sicherheit der SSL-Zertifikaten und digitaler Signatur.

Windows Root Certificate Program

In diesem Programm stehen alle Wurzelzertifikate der Zertifizierungsstelle zur Verfügung, die für Windows vertrauenswürdig sind. Es handelt sich um die wichtigste Liste der Zertifizirungsstellen überhaupt, die von meisten Programmen in Windows verwendet wird. Die Intermediate Zertifikate gibt es in der Liste nicht.

Wie sieht die neue Version 2.0 aus?

Ende für SHA-1 Support

Microsoft bestätigt sein früher veröffentlichtes Vorhaben und beendet den SHA-1 Support für seine Produkte und das auch in der Liste der Wurzelzertifikate. Die aktualisierten Anforderungen bieten auch das Plan wie der Support beendet werden sollte:

  1. CA darf die neuen SSL und Code Signing Zertifikate mit SHA-1 nach dem 1. Januar 2016 nicht mehr ausstellen.
  2. Windows hört auf die SSL Zertifikate mit SHA-1 nach dem 1. Januar 2017 zu unterstützen. Das heißt, dass jedes SSL Zertifikat mit SHA-2 nach diesem Datum ausgestellt werden sollte und die vorhandenen Zertifikate mit SHA-2 neu erworben werden müssen.
  3. Die Code Signing Zertifikate mit SHA-1 werden von Windows nach dem 1. Januar 2016 nicht mehr unterstützt. Die Zertifikate mit SHA-1 (nach RFC 3161) mit Ausstellung vor 1.1.2016 werden bis auf Widerruf unterstützt.
  4. Das Programm wird weiter keine neue Wurzelzertifikate für digitale Signatur mit SHA-1 oder RSA 2048 akzeptieren. Die neuen Zertifikate für digitale Signatur müssen mit SHA-2 und RSA 4096 ausgestellt werden.

Nicht mehr unterstützte Algorithmen

Auf der Liste der nicht mehr unterstützten Algorithmen stehen: MD2, MD4, MD5, RSA mit der Veschlüsselungstiefe unter 1024 Bit, RSA mit 1024 Bit.

Microsoft beendet die Unterstützung von 1024b Wurzelzertifikaten ab 2014.

Wie kann man sich für die Änderung vorbereiten?

Es genügt, das Zertifikat mit SHA-2 vor dem Ende des Supports für SHA-1 neu ausstellen lassen. Unsere Kunden können SSL-Zertifikate nach der Kontoanmeldung kostenlos neu ausstellen lassen.

Die SSL-Zertifikate mit 1024 Bit werden nicht mehr ausgestellt. Die Zertifizierungstellen stellen auch keine Wurzelzertifikate mit 1024b mehr zur Verfügung.

Die Liste der Zertifizierungsstellen wird direkt vom Hersteller des Betriebssystems automatisch aktualisiert, der Benutzer muss die Aktualisierung nicht beachten.

Archiv der Neuigkeiten