Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

Oracles Java soll ab April keinen Code mehr ausführen, der mit dem unsicheren MD5-Algorithmus signiert worden ist. Dieses Update musste Oracle auf Druck der Kunden sogar verschieben. Zudem soll sich Java von SHA-1-Zertifikaten verabschieden.

Artikel veröffentlicht am ,
Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath)

Der Hash-Algorithmus MD5 gilt schon seit Jahren nicht mehr als sicher. Oracles Laufzeitumgebung für Java, JRE, wird deshalb ab dem für Mitte April geplanten Update keinen Java-Code mehr ausführen, der mit MD5 signiert worden ist. Konkret betroffen davon sind signierte Java-Archive, kurz Jar, die üblicherweise zum Verteilen von Anwendungen genutzt werden.

Stellenmarkt
  1. Application Manager Product Lifecycle Management (m/w/d)
    Birkenstock Group B.V. & Co. KG, Köln
  2. Softwareentwickler (m/w/d) Robotik
    J. Schmalz GmbH, Glatten
Detailsuche

Die standardmäßige Verwendung von MD5 zur Erstellung einer Signatur beendete Oracle bereits im Jahr 2006 mit der Veröffentlichung von Java SE 6. Umgesetzt wird die angekündigte Änderung sowohl für das aktuelle Java SE 8 als auch für Java SE 6 und 7, die beide noch von Oracle offizielle Langzeitunterstützung erhalten. Ursprünglich geplant war die Änderung bereits für die Veröffentlichung des Januar-Updates, das vergangene Woche erschienen ist.

Oracle hat aber offenbar einige Hinweise von seinen Kunden bekommen, dass diese mehr Zeit benötigen, um auf die Änderung reagieren zu können. Bekanntgegeben worden ist der Plan bereits im Oktober vergangenen Jahres. Es ist in der Vergangenheit auch bei anderer Software immer wieder vorgekommen, dass sicherheitsrelevante Änderungen verschoben werden mussten, weil etwa Kunden, Nutzer oder betroffene Dritte nicht gut genug darauf vorbereitet gewesen sind.

Mit dem für April geplanten Update sollen außerdem standardmäßig keine SHA-1-Zertifikate mehr in Oracles JDK genutzt werden können. Ausgenommen davon seien sollen Zertifikate, die lokal oder für Unternehmensnetzwerke selbst ausgestellt werden. Signierter Code, mit einem Zeitstempel vor dem 1. Januar 2017, soll davon ebenso nicht betroffen sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


whitbread 24. Jan 2017

Fritzbox und Sicherheit sollten eh' nicht einem Satz verwendet werden.

gbpa005 24. Jan 2017

Gilt das auch für MessageDigest? Unter http://docs.oracle.com/javase/8/docs/api/java...

M.P. 24. Jan 2017

Aktuell von der Oracle Seite https://docs.oracle.com/javase/tutorial/deployment/jar/intro...

ibsi 23. Jan 2017

Quelle: https://www.golem.de/news/zertifikate-google-will-vor-sha-1-warnen-1408-108700...



Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Hohe Kosten, halbherzige Umsetzung

Die digitalen Tools zur Pandemiebekämpfung wie die Corona-Warn-App sind nicht billig. Gerade deshalb sollten sie sinnvoll und effektiv genutzt werden.
Ein IMHO von Friedhelm Greis

Corona-Warn-App: Hohe Kosten, halbherzige Umsetzung
Artikel
  1. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

  2. Mike Ybarra: So will Blizzard das Betriebsklima retten
    Mike Ybarra
    So will Blizzard das Betriebsklima retten

    Kein Mobbing, keine Diskriminierung - und wieder mehr Inhalte für die Kundschaft: Blizzard-Chef Mike Ybarra stellt seine Pläne vor.

  3. Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
    Microsoft
    Sony äußert sich zur Übernahme von Activision Blizzard

    Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /