Laut Microsoft sollen TLS-Zertifikate zur Server-Authentifizierung in Zukunft sicherer werden. Wie der Konzern im Windows-Message-Center darauf hinweist, sollen Zertifikate mit schwachen RSA-Schlüsseln als veraltet gelten.

Die Änderung wird auf Windows-Betriebssystemen später in diesem Jahr durchgesetzt, schreibt Microsoft im Windows-IT-Pro-Blog. Davon betriffen sind TLS-Sever-Authentifizierungszertifikate, welche im Microsoft Trusted Root-Programm verankert sind. Ausnahmen wie TLS-Zertifikate von Enterprise- oder Test-Authorities (CAs) sind von der Änderung nicht betroffen.

Zum Aufbau einer gesicherten Verbindung zwischen Client und Server dienen solche TLS-Server-Authentifzierungszertifikate. Bislang war laut Microsoft 1024 Bits als kürzeste Schlüssellänge für RSA-Verschlüsselung zulässig. Da diese unzureichende Sicherheit mit Hinblick auf die Fortschritte von Rechenleistung und Kryptoanalyse-Techniken liefern, werden sie im letzten Quartal dieses Jahres nicht mehr fortgeführt.

Laut Microsoft habe es seit 2012 Kunden ermutigt, keine RSA-Schlüssel mit weniger als 1024 Bits zu verwenden. Das US-amerikanische NIST habe 2012 empfohlen, 1024-Bit-RSA-Schlüssel nicht mehr einzusetzen. Der neue empfohlene Standard stand seit April 2024 Teilnehmern des Windows-Insider-Programms zur Verfügung. Im laufe diesen Jahres soll der "Deprecated"(veraltet)-Status zur Ausrichtung auf jüngste Internet-Standards und Regulierungsbehörden dienen.

Somit wird keine weitere aktive Entwicklung mehr vorgenommen und die Funktion in späteren Releases werde ganz entfernt. Die Funktion wird nach der Entfernung nicht mehr unterstützt und könne aufhören, zu funktionieren. Die minimale RSA-Schlüssellänge wird dann von Microsoft auf 2048 Bit gesetzt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt sogar nach mindestens 3000 Bit langen RSA-Schlüsseln.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE