Abo
  • IT-Karriere:

Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

Artikel veröffentlicht am , Hanno Böck
Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor.
Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor. (Bild: Google)

Google hat in einem Blogeintrag erläutert, wie der Chrome-Browser künftig mit Zertifikaten umgeht, deren Signatur mit dem problematischen Hash-Algorithmus SHA-1 erstellt wurden. Überraschend kommt das nicht: Bereits vor einigen Wochen hatte Google-Entwickler Ryan Sleevi entsprechende Pläne der Chrome-Entwickler bekanntgegeben. Die Umstellung beginnt im September mit der Version 39.

Stellenmarkt
  1. MAGELLAN Rechtsanwälte Säugling und Partner mbB, München
  2. operational services GmbH & Co. KG, München

Zertifikate, die bis 2017 gültig sind, werden demnach weiterhin akzeptiert, der Browser wird jedoch bei HTTPS-Verbindungen ein gelbes Warnsymbol anzeigen. Mit der Version 40 im November wird das Ganze verschärft: Dann werden solche Zertifikate mit Gültigkeit bis 2017 überhaupt kein Sicherheitssymbol mehr angezeigt bekommen - die Verbindungen sehen aus wie bei einer unverschlüsselten HTTP-Seite. Zertifikate, die bis 2016 gültig sind, werden ab dann mit dem gelben Warnsymbol versehen. Anfang 2015 mit der Version 41 werden dann Zertifikate, die bis 2017 gültig sind, ein rotes Warnsymbol erhalten.

Bereits 2011 hatte das CA/Browser-Forum Richtlinien für eine Abschaffung von SHA-1 vorgelegt. Doch obwohl die Zertifizierungsstellen selbst an diesen Richtlinien mitgearbeitet haben, wurden sie von den meisten ignoriert. Bereits im vergangenen Jahr hat Microsoft angekündigt, 2017 die SHA-1-Unterstützung einzustellen.

Google-Entwickler Adam Langley hat auf der Webseite Hacker News einige Statistiken zu problematischen Zertifikaten bereitgestellt. Demnach gibt es immer noch Zehntausende Zertifikate, die über 2017 hinaus gültig und mit SHA-1 signiert sind. Die meisten davon stammen von Globalsign, an zweiter Stelle kommt Godaddy.

Webseitenbetreiber, deren Zertifikate mit SHA-1 signiert sind, sollten sich bald um neue Zertifikate kümmern, auch wenn die aktuellen Zertifikate noch für längere Zeit gültig sind. Kompatibilitätsprobleme mit dem besseren Algorithmus SHA-256 gibt es kaum. Lediglich alte Windows XP-Installationen, auf denen das Service Pack 3 nicht installiert wurde, haben ein Problem mit SHA-256.

Warnungen davor, dass SHA-1 nicht mehr als sicher angesehen werden sollte, gab es bereits 2004. Beim älteren Hash-Algorithmus MD5 taten sich die Zertifizierungsstellen ebenfalls schwer mit der Abschaffung. Sie warteten so lange, bis es einem Forscherteam gelang, praktisch einen Angriff zu zeigen, bei dem eine gefälschte Unter-Zertifizierungsstelle erzeugt werden konnte.



Anzeige
Spiele-Angebote
  1. 0,49€
  2. 4,99€
  3. 12,99€
  4. (-50%) 2,50€

hannob (golem.de) 09. Sep 2014

Es gibt hunderte Zertifikatsanbieter und noch mehr Reseller. Realistischerweise können...

Tautologiker 08. Sep 2014

Das ist in dieser Absolutheit Bullshit. Guck mal hier auf die Gültigkeitsdaten der Root...

Lord LASER 08. Sep 2014

Die Entscheidung für Keccak fiel 2012. Standardisiert ist es noch nicht. Es gibt von...

bofhl 08. Sep 2014

Ausgestellt haben diese Zertifikatsaussteller schon SHA-2 signierte Zertifikate, blos...

Anonymer Nutzer 07. Sep 2014

RC4-SHA um mal etwas konkreter zu werden.


Folgen Sie uns
       


Samsung Galaxy Fold - Hands on (Ifa 2019)

Das Galaxy Fold scheint gerettet: Samsungs Verbesserungen zahlen sich aus, wie unser erster Test des Gerätes zeigt.

Samsung Galaxy Fold - Hands on (Ifa 2019) Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  2. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  3. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

    •  /