Abo
  • Services:
Anzeige
Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath)

Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath)

Oracles Java soll ab April keinen Code mehr ausführen, der mit dem unsicheren MD5-Algorithmus signiert worden ist. Dieses Update musste Oracle auf Druck der Kunden sogar verschieben. Zudem soll sich Java von SHA-1-Zertifikaten verabschieden.

Der Hash-Algorithmus MD5 gilt schon seit Jahren nicht mehr als sicher. Oracles Laufzeitumgebung für Java, JRE, wird deshalb ab dem für Mitte April geplanten Update keinen Java-Code mehr ausführen, der mit MD5 signiert worden ist. Konkret betroffen davon sind signierte Java-Archive, kurz Jar, die üblicherweise zum Verteilen von Anwendungen genutzt werden.

Anzeige

Die standardmäßige Verwendung von MD5 zur Erstellung einer Signatur beendete Oracle bereits im Jahr 2006 mit der Veröffentlichung von Java SE 6. Umgesetzt wird die angekündigte Änderung sowohl für das aktuelle Java SE 8 als auch für Java SE 6 und 7, die beide noch von Oracle offizielle Langzeitunterstützung erhalten. Ursprünglich geplant war die Änderung bereits für die Veröffentlichung des Januar-Updates, das vergangene Woche erschienen ist.

Oracle hat aber offenbar einige Hinweise von seinen Kunden bekommen, dass diese mehr Zeit benötigen, um auf die Änderung reagieren zu können. Bekanntgegeben worden ist der Plan bereits im Oktober vergangenen Jahres. Es ist in der Vergangenheit auch bei anderer Software immer wieder vorgekommen, dass sicherheitsrelevante Änderungen verschoben werden mussten, weil etwa Kunden, Nutzer oder betroffene Dritte nicht gut genug darauf vorbereitet gewesen sind.

Mit dem für April geplanten Update sollen außerdem standardmäßig keine SHA-1-Zertifikate mehr in Oracles JDK genutzt werden können. Ausgenommen davon seien sollen Zertifikate, die lokal oder für Unternehmensnetzwerke selbst ausgestellt werden. Signierter Code, mit einem Zeitstempel vor dem 1. Januar 2017, soll davon ebenso nicht betroffen sein.


eye home zur Startseite
whitbread 24. Jan 2017

Fritzbox und Sicherheit sollten eh' nicht einem Satz verwendet werden.

gbpa005 24. Jan 2017

Gilt das auch für MessageDigest? Unter http://docs.oracle.com/javase/8/docs/api/java...

M.P. 24. Jan 2017

Aktuell von der Oracle Seite https://docs.oracle.com/javase/tutorial/deployment/jar/intro...

ibsi 23. Jan 2017

Quelle: https://www.golem.de/news/zertifikate-google-will-vor-sha-1-warnen-1408-108700...



Anzeige

Stellenmarkt
  1. WEGMANN automotive GmbH & Co. KG, Veitshöchheim
  2. Continental AG, Ingolstadt
  3. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  4. neam IT-Services GmbH, Paderborn


Anzeige
Top-Angebote
  1. (heute u. a. Nintendo Handhelds und Spiele, Harry Potter und Mittelerde Blu-rays, Objektive, Lenovo...
  2. 315,00€

Folgen Sie uns
       


  1. Turi Create 4.0

    Apple macht KI-Framework zur Bilderkennung quelloffen

  2. LG 32UD99-W im Test

    Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR

  3. Jailbreak

    Googles Sicherheitsteam hackt mal wieder das iPhone

  4. Asus Rog Strix

    Notebooks mit 120-Hz-Display für LoL und Pubg vorgestellt

  5. Raumfahrt

    SpaceX schickt gebrauchtes Gespann zur ISS

  6. Android-Verbreitung

    Oreo gibt die rote Laterne ab

  7. Q# und QDK

    Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  8. Corning

    3M verkauft seine Glasfaserproduktion

  9. In eigener Sache

    Golem pur verschenken

  10. Home Max

    Googles smarter Toplautsprecher kommt pünktlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

Thinkpad X1 Yoga v2 im Test: LCD gegen OLED
Thinkpad X1 Yoga v2 im Test
LCD gegen OLED

Samsung Gear Sport im Test: Die schlaue Sportuhr
Samsung Gear Sport im Test
Die schlaue Sportuhr
  1. Wearable Fitbit macht die Ionic etwas smarter
  2. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  3. Fitbit Ionic im Test Die (noch) nicht ganz so smarte Sportuhr

  1. Es fehlt an Innovation

    Chero | 13:09

  2. Re: 32Zoll zu groß für Schreibtisch?

    elgooG | 13:08

  3. Halb OT: Serie "Mars" auf Netflix

    dopemanone | 13:08

  4. Re: Hätte Obama so eine Rede gehalten

    Trollversteher | 13:08

  5. Re: Und ich bin dabei!

    Trockenobst | 13:08


  1. 13:07

  2. 12:05

  3. 11:38

  4. 11:19

  5. 10:48

  6. 10:34

  7. 10:18

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel