Hallo Leutz,

Microsoft hat in dem Blogeintrag http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze:
Juli 2015 – Microsoft wird in diesem Zeitraum neue Informationen / Richtlinien veroeffentlichen, wie mit der SHA1 Abloesung durch SHA2 umzugehen ist
01.01.2016 – CA Anbieter, welche Mitglied im Windows Root CA Programm sind, muessen ab diesem Zeitpunkt SHA2 Zertifikate ausstellen
01.01.2016 – Windows akzeptiert keine Code Signing Zertifikate mehr, welche auf SHA1 basieren und KEINEN Zeitstempel besitzen. Code Signing Zertifikate mit Zeitstempel vor 01.01.2016 werden weiterhin akzeptiert bis Microsoft entscheidet, dass diese Zertifikate angreifbar fuer “Pre-Image-Attacken” sind
01.01.2017 – Windows akzeptiert ab diesem Zeitpunkt keine SSL-Zertifikate mit SHA1
01.01.2017 – Webserver Administratoren / CA Administratoren muessen neue Zertifikate fuer alle ausgestellten SSL und Code Signing Zertifikate mit SHA1 ausstellen und sicherstellen das SHA2 verwendet wird.

Fuer PKI-Administratoren / Webserver-Administratoren bedeutet dass:
1) Zeitnah alle Anwendungen und Dienste zu evaluieren, welche SSL und CodeSigning Zertifikate mit SHA1 verwenden und pruefen, ob diese durch SHA2 Zertifikate ausgetauscht werden koennen
2) Neue PKI Implementierungen gleich mit SHA2 (CNG) Support etablieren, wobei auch hier vorher die Auswirkungen auf die IT Infrastruktur zu beruecksichtigen sind
3) Migrationswege zur “Migration” vorhandener CA auszuarbeiten, welche noch nicht zur Verwendung von CNG Algorithmen konfiguriert sind. Je nach verwendetem CSP (z. B. Microsoft Strong Cryptographic Provider) kann es sehr aufwaendig werden, eine existierende CA auf CNG umzustellen (z. B.: http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf)

Gruss Marc