Anzeige
Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor.
Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor. (Bild: Google)

Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

Anzeige

Google hat in einem Blogeintrag erläutert, wie der Chrome-Browser künftig mit Zertifikaten umgeht, deren Signatur mit dem problematischen Hash-Algorithmus SHA-1 erstellt wurden. Überraschend kommt das nicht: Bereits vor einigen Wochen hatte Google-Entwickler Ryan Sleevi entsprechende Pläne der Chrome-Entwickler bekanntgegeben. Die Umstellung beginnt im September mit der Version 39.

Zertifikate, die bis 2017 gültig sind, werden demnach weiterhin akzeptiert, der Browser wird jedoch bei HTTPS-Verbindungen ein gelbes Warnsymbol anzeigen. Mit der Version 40 im November wird das Ganze verschärft: Dann werden solche Zertifikate mit Gültigkeit bis 2017 überhaupt kein Sicherheitssymbol mehr angezeigt bekommen - die Verbindungen sehen aus wie bei einer unverschlüsselten HTTP-Seite. Zertifikate, die bis 2016 gültig sind, werden ab dann mit dem gelben Warnsymbol versehen. Anfang 2015 mit der Version 41 werden dann Zertifikate, die bis 2017 gültig sind, ein rotes Warnsymbol erhalten.

Bereits 2011 hatte das CA/Browser-Forum Richtlinien für eine Abschaffung von SHA-1 vorgelegt. Doch obwohl die Zertifizierungsstellen selbst an diesen Richtlinien mitgearbeitet haben, wurden sie von den meisten ignoriert. Bereits im vergangenen Jahr hat Microsoft angekündigt, 2017 die SHA-1-Unterstützung einzustellen.

Google-Entwickler Adam Langley hat auf der Webseite Hacker News einige Statistiken zu problematischen Zertifikaten bereitgestellt. Demnach gibt es immer noch Zehntausende Zertifikate, die über 2017 hinaus gültig und mit SHA-1 signiert sind. Die meisten davon stammen von Globalsign, an zweiter Stelle kommt Godaddy.

Webseitenbetreiber, deren Zertifikate mit SHA-1 signiert sind, sollten sich bald um neue Zertifikate kümmern, auch wenn die aktuellen Zertifikate noch für längere Zeit gültig sind. Kompatibilitätsprobleme mit dem besseren Algorithmus SHA-256 gibt es kaum. Lediglich alte Windows XP-Installationen, auf denen das Service Pack 3 nicht installiert wurde, haben ein Problem mit SHA-256.

Warnungen davor, dass SHA-1 nicht mehr als sicher angesehen werden sollte, gab es bereits 2004. Beim älteren Hash-Algorithmus MD5 taten sich die Zertifizierungsstellen ebenfalls schwer mit der Abschaffung. Sie warteten so lange, bis es einem Forscherteam gelang, praktisch einen Angriff zu zeigen, bei dem eine gefälschte Unter-Zertifizierungsstelle erzeugt werden konnte.


eye home zur Startseite
hannob (golem.de) 09. Sep 2014

Es gibt hunderte Zertifikatsanbieter und noch mehr Reseller. Realistischerweise können...

Tautologiker 08. Sep 2014

Das ist in dieser Absolutheit Bullshit. Guck mal hier auf die Gültigkeitsdaten der Root...

Lord LASER 08. Sep 2014

Die Entscheidung für Keccak fiel 2012. Standardisiert ist es noch nicht. Es gibt von...

bofhl 08. Sep 2014

Ausgestellt haben diese Zertifikatsaussteller schon SHA-2 signierte Zertifikate, blos...

Anonymer Nutzer 07. Sep 2014

RC4-SHA um mal etwas konkreter zu werden.

Kommentieren



Anzeige

  1. Junior-Entwickler Microsoft Dynamics NAV (m/w)
    ORBIT, Bonn
  2. (Senior-) Berater (m/w) Business Intelligence / Data Warehouse
    Capgemini Deutschland GmbH, verschiedene Standorte
  3. Dependency Manager Releases (m/w)
    T-Systems International GmbH, Bonn
  4. Informatiker, Wirtschaftsinformatiker (m/w)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn

Detailsuche



Anzeige
Hardware-Angebote
  1. GeForce GTX 1080 bei Amazon
  2. GeForce GTX 1070 bei Alternate
    (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)
  3. TIPP: Angebote der Woche

Weitere Angebote


Folgen Sie uns
       


  1. Battlefield 1 angespielt

    Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze

  2. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  3. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  4. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  5. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  6. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  7. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  8. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  9. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  10. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

Zelda Breath of the Wild angespielt: Das Versprechen von 1986 wird eingelöst
Zelda Breath of the Wild angespielt
Das Versprechen von 1986 wird eingelöst

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

  1. Re: Skins für Echtgeld sind doch echt bescheuert

    bentol | 03:40

  2. Re: Ich versteh gerade nur Bahnhof

    bentol | 03:24

  3. Re: Automatische Waffen beim WW1?

    teddybums | 02:38

  4. Golem.de: Magie für Profis (kT)

    Keridalspidialose | 02:06

  5. Re: Hahahaa was ein Schwachsinn!

    xMarwyc | 01:52


  1. 15:00

  2. 10:36

  3. 09:50

  4. 09:15

  5. 09:01

  6. 14:45

  7. 13:59

  8. 13:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel