Abo
  • Services:
Anzeige
Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor.
Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor. (Bild: Google)

Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

Anzeige

Google hat in einem Blogeintrag erläutert, wie der Chrome-Browser künftig mit Zertifikaten umgeht, deren Signatur mit dem problematischen Hash-Algorithmus SHA-1 erstellt wurden. Überraschend kommt das nicht: Bereits vor einigen Wochen hatte Google-Entwickler Ryan Sleevi entsprechende Pläne der Chrome-Entwickler bekanntgegeben. Die Umstellung beginnt im September mit der Version 39.

Zertifikate, die bis 2017 gültig sind, werden demnach weiterhin akzeptiert, der Browser wird jedoch bei HTTPS-Verbindungen ein gelbes Warnsymbol anzeigen. Mit der Version 40 im November wird das Ganze verschärft: Dann werden solche Zertifikate mit Gültigkeit bis 2017 überhaupt kein Sicherheitssymbol mehr angezeigt bekommen - die Verbindungen sehen aus wie bei einer unverschlüsselten HTTP-Seite. Zertifikate, die bis 2016 gültig sind, werden ab dann mit dem gelben Warnsymbol versehen. Anfang 2015 mit der Version 41 werden dann Zertifikate, die bis 2017 gültig sind, ein rotes Warnsymbol erhalten.

Bereits 2011 hatte das CA/Browser-Forum Richtlinien für eine Abschaffung von SHA-1 vorgelegt. Doch obwohl die Zertifizierungsstellen selbst an diesen Richtlinien mitgearbeitet haben, wurden sie von den meisten ignoriert. Bereits im vergangenen Jahr hat Microsoft angekündigt, 2017 die SHA-1-Unterstützung einzustellen.

Google-Entwickler Adam Langley hat auf der Webseite Hacker News einige Statistiken zu problematischen Zertifikaten bereitgestellt. Demnach gibt es immer noch Zehntausende Zertifikate, die über 2017 hinaus gültig und mit SHA-1 signiert sind. Die meisten davon stammen von Globalsign, an zweiter Stelle kommt Godaddy.

Webseitenbetreiber, deren Zertifikate mit SHA-1 signiert sind, sollten sich bald um neue Zertifikate kümmern, auch wenn die aktuellen Zertifikate noch für längere Zeit gültig sind. Kompatibilitätsprobleme mit dem besseren Algorithmus SHA-256 gibt es kaum. Lediglich alte Windows XP-Installationen, auf denen das Service Pack 3 nicht installiert wurde, haben ein Problem mit SHA-256.

Warnungen davor, dass SHA-1 nicht mehr als sicher angesehen werden sollte, gab es bereits 2004. Beim älteren Hash-Algorithmus MD5 taten sich die Zertifizierungsstellen ebenfalls schwer mit der Abschaffung. Sie warteten so lange, bis es einem Forscherteam gelang, praktisch einen Angriff zu zeigen, bei dem eine gefälschte Unter-Zertifizierungsstelle erzeugt werden konnte.


eye home zur Startseite
hannob (golem.de) 09. Sep 2014

Es gibt hunderte Zertifikatsanbieter und noch mehr Reseller. Realistischerweise können...

Tautologiker 08. Sep 2014

Das ist in dieser Absolutheit Bullshit. Guck mal hier auf die Gültigkeitsdaten der Root...

Lord LASER 08. Sep 2014

Die Entscheidung für Keccak fiel 2012. Standardisiert ist es noch nicht. Es gibt von...

bofhl 08. Sep 2014

Ausgestellt haben diese Zertifikatsaussteller schon SHA-2 signierte Zertifikate, blos...

Anonymer Nutzer 07. Sep 2014

RC4-SHA um mal etwas konkreter zu werden.



Anzeige

Stellenmarkt
  1. Bundesnachrichtendienst, Pullach bei München, Bad Aibling
  2. über Ratbacher GmbH, Köln
  3. Zühlke Engineering GmbH, Hannover
  4. über Ratbacher GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...
  2. (u. a. Der Hobbit 3 für 9,99€ u. Predator für 12,49€)
  3. (mehr als 2.500 reduzierte Titel)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Apple

    iOS 10.3 sucht nach verlorenen Airpods

  2. Beta 1

    MacOS Sierra 10.12.4 mit Blaulichtfilter als Nachtmodus

  3. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  4. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  5. DirectX 12

    Microsoft legt Shader-Compiler offen

  6. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  7. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  8. Innogy

    Telekom will auch FTTH anmieten

  9. Tissue Engineering

    3D-Drucker produziert Haut

  10. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Prozessoren Termin für Kaby Lake-X und Details zu den Kaby-Lake-Xeons
  2. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  3. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation

  1. Batman v Superman, nicht Batman vs. Superman

    Pjörn | 02:18

  2. Re: Inbegriff von Abzocke

    knoxxi | 02:07

  3. Re: Endlich :-)

    ve2000 | 02:01

  4. f.lux

    M. | 02:01

  5. Re: 8K Kameras werden auch nichts daran ändern

    M. | 01:50


  1. 22:59

  2. 22:16

  3. 18:21

  4. 18:16

  5. 17:44

  6. 17:29

  7. 16:57

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel