Your browser either does not support JavaScript or you have turned JavaScript off.

SHA-2 Zertifikate mit ZLD v4.15

KB-3602   |   FAQ   |   Erstellt am 21.12.2015   |   Letzte Aktualisierung: 14.09.2018

Damit der Browser sensible Daten wie Benutzername und Passwörter nicht im Klartext im Netz übertragen muss, nutzt er nach Möglichkeit eine verschlüsselte Verbindung. Webseiten, welche eine Verschlüsselung unterstützen, sind leicht am HTTPS://-Präfix in der Adresse zu erkennen (HTTPS = Hypertext Transfer Protocol Secure). Vor dem eigentlichen Aufbau der verschlüsselten Verbindung übergibt der HTTPS-Server ein Zertifikat an den Client.

 

Das Zertifikat enthält einerseits den öffentlichen Schlüssel, sowie einen einmaligen, den Herausgeber identifizierenden Hash-Wert. Für das Berechnen des Hash-Wertes kommt dabei der Secure Hash Algorithm (SHA) zur Anwendung. Weit verbreitet ist SHA-1 mit einer Hash-Länge von 96 Bit. Zum SHA-1 sind aber bereits seit einiger Zeit Angriffspunkte bekannt, welche den ursprünglich erforderlichen Aufwand zur Brechung des Hash-Wertes erheblich vermindern könnten. Der Nachfolger SHA-2 behebt diese Schwachstellen und bietet die Erstellung von Hash-Werten mit einer Länge von 224 bis 512 Bit (SHA-224 bis SHA-512).

 

Um die verbreitete Nutzung von SHA-2 voranzutreiben, erklären mehr und mehr Browser einen auf SHA-1 erstellten Hash-Wert generell als unsicher. Der Aufbau einer Verbindung auf ein Device mit SHA-1 basiertem Zetifikat wird dann vom Browser mit einer Fehlermeldung quittiert und abgelehnt. Es sind weitere Einstellungen oder Massnahmen notwendig, um trotzdem eine gesicherte Verbindung zuzulassen.

 

 

FAQ






 

  • Frage: Betrifft diese Umstellung alle Zyxel-Produkte?

    Antwort: Nein, nur Produkte, welche nachträglich für den Zugriff per HTTPS eingerichtet wurden. Oder solche, welche grundsätzlich für den Betrieb mit HTTPS vorgesehen sind, beispielsweise USG-Firewalls. An HTTP-Konfigurationsoberflächen ändert sich nichts.

 

  • Frage: Wenn mein Browser SHA-1 nicht mehr als sicher einstuft und die Verbindung ablehnt, kann ich dann beispielsweise nicht einfach das HTTP-Interface der USG-Firewall nutzen?

    Antwort: Im Prinzip schon, aber damit würden Sie sensible Daten unverschlüsselt im Netz übertragen, was den Bestrebungen der Browserhersteller nach mehr Sicherheit genau entgegenläuft. Besser wäre, ein neues Zertifikat mit SHA-2 zu erstellen.

 

  • Frage: Für welche Zyxel-Produkte kann mit einer Aktualisierung der Firmware zur Generierung von SHA-2 basierten Zertifikaten gerechnet werden?

    Antwort: Viele Artikel aus dem aktuellen Verkaufsprogramm werden mit den nächsten Updates auch die Generierung von SHA-2 basierten Zertifikaten ermöglichen. Für die aktuelle USG-Serie beispielsweise ab Firmware v4.15. Diverse ältere Artikel werden aber keine Aktualisierung mehr erhalten. Falls das Device den Import von Zertifikaten unterstützt, kann auch ein extern erstelltes, SHA-2 basierendes Zertifikat verwendet werden.

    Firmware Update verfügbar: UAG2100/4100/5100 ab FW v4.10
    Firmware Update geplant: USG Next Generation Serie ab FW v4.15, Switch-Serien 2200/2210/3700 ab FW v4.30

 

  • Frage: Ich kann bereits nicht mehr auf die Konfigurationsseite meines Device zugreifen. Es scheint auch so, dass ich SHA-2 gar nicht einrichten kann. Was kann ich jetzt noch tun?

    Antwort: Je nach Browser sind die Einstellungen für das Akzeptieren von SHA-1 basierenden Zertifikaten mehr oder weniger gut versteckt. Prüfen Sie die Hilfeseiten Ihres Browsers für Unterstützung. Alternativ empfiehlt sich der Download eines älteren Browsers in einer Portable-Version, welcher nur für den temporären Zugriff auf das entsprechende WebGUI zur Anwendung kommt. 

 

  • Frage: Meine USG liefert mir mit Firmware v4.13 noch ein SHA-1 Zertifikat. Genügt es, auf die Firmware v4.15 zu aktualisieren, damit der Browser dann ein SHA-2  Zertifikat präsentiert bekommt?

    Antwort: Das wird noch nicht genügen, da durch das Update der Firmware noch kein neues (Default-)Zertifikat erstellt wurde. In einem zweiten Schritt sollten Sie also unter dem Menüpunkt Object>Certificate ein neues Zertifikat erstellen und dann im Menü www für den HTTPS-Dienst auswählen.

    https://www.studerus.ch/de/support/knowledgebase/detail/3517

 

  • Frage: Wie soll ich denn auf einer USG-Firewall die Firmware aktualisieren und ein neues Zertifikat erstellen, wenn ich mich nicht mehr einloggen kann?

    Antwort: Die Firmware kann aus dem lokalen Netz per FTP übertragen werden:

    1. Eingabeaufforderung starten
    2. FTP 192.168.1.1 (= IP der USG-Firewall)
    3. mit Benutzername admin und aktuellem Passwort einloggen
    4. bin (= stellt FTP-Client auf Binärübertragung um)
    5. put filename ras (Filename = Dateiname der Firmware, z.B. 415AAPH1C0.bin)

    Nach dem Neustart erstellen Sie eine SSH-Terminal-Verbindung (z.B. mit Putty). Der Befehl 'debug _CA regenerate' ersetzt das bestehende Default-Zertifikat durch eine neues, auf SHA-2 aufsetzendes Zertifikat.