Bereits im vergangenen Jahr hatte Microsoft angekündigt, die Updates und Patches für seine Betriebssysteme künftig nur noch über den sicheren SHA-2-Algorithmus zu signieren. Ältere Systeme, wie Windows 7, Server 2008 R2 SP1 und Server 2008 SP2, nutzen allerdings noch den mittlerweile als unsicher geltenden SHA-1-Standard. Für den Support von SHA-2-signierten Paketen soll ein kritisches Update sorgen, das bislang auf April 2019 angesetzt war.

Wie aber nun aus der aktualisierten Roadmap für den SHA-2-Patch hervorgeht, hat Microsoft das Update auf den März vorverlegt. Die Aktualisierung wird zum Patchday zunächst für Windows 7 SP1 und Windows Server 2008 R2 SP1 ausgerollt. Für Windows Server 2008 SP2 erfolgt der Rollout hingegen wie ursprünglich geplant im April.

Ab Juni werden Windows-Updates dann nur noch mit einer SHA-2-Signatur verteilt. Systeme, die den Standard noch nicht unterstützen, können diese Aktualisierungen nicht mehr aufspielen. Administratoren sollten die SHA-2-Patches also möglichst zeitnah aufspielen, um Update-Probleme in der Folge zu vermeiden.

Microsoft signiert wie alle sicherheitsbewussten Anbieter seine Software-Updates. Dadurch können Windows und Co. sicherstellen, dass ein Update auch wirklich von den Redmondern stammt und nicht von Dritten manipuliert wurde.

Bislang hat Microsoft seine Windows-Patches sowohl mit SHA-1 als auch mit SHA-2 signiert, um gleichermassen alte wie auch neue Systeme zu versorgen. Da aber das Hash-Verfahren SHA-1 schon seit 2005 als theoretisch verwundbar galt und 2017 schliesslich von einem Forscherteam auch in der Praxis geknackt wurde, kann der Algorithmus potentiell umgangen werden. Daher besteht bei SHA-1-signierten Paketen das Risiko, dass Schadsoftware und dergleichen über Windows-Updates verbreitet werden. Das in Windows 8.1 und 10 standardmässig verwendete SHA-2 gilt hingegen als sicher.

Im Internet werden SHA-1-basierte SSL-Zertifikate daher schon seit 2017 nicht mehr von Google, Mozilla und auch Microsoft unterstützt. Auf Ebene des Betriebssystems erfolgt der Verzicht auf Legacy-Verschlüsselung nun also zwei Jahre später, um die Integrität von Updates zu sichern.