Abo
  • Services:

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

Artikel veröffentlicht am , Hanno Böck
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden.
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot)

Google will im Chrome-Browser vor Zertifikaten warnen, die mit dem Hashalgorithmus SHA-1 signiert und noch bis 2016 gültig sind. Google reagiert damit darauf, dass sehr viele Zertifizierungsstellen noch immer SHA-1-Zertifikate ausstellen und dies offenbar nicht ändern wollen. Seit 2004 ist bekannt, dass Kollisionsangriffe gegen SHA-1 prinzipiell möglich sind. In der Praxis ist ein solcher Angriff noch nicht durchgeführt worden, da er teure Spezialhardware erfordert. Für einen finanzstarken Angreifer wäre dies jedoch möglich.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Google-Entwickler Ryan Sleevi schreibt, dass die Abschaffung von SHA-1 besser ablaufen müsse als die von MD5. Bereits 1995 waren erste Schwächen im MD5-Algorithmus entdeckt worden, 2004 konnten Kollisionsangriffe gegen MD5 gezeigt werden. Damit war klar, dass der Algorithmus für digitale Signaturen nicht mehr verwendet werden sollte. Trotzdem nutzten die meisten Zertifizierungsstellen MD5 weiter, und noch 2008 gelang es einem Forscherteam dank der MD5-Schwäche, eine komplett gefälschte Zertifizierungsstelle zu erzeugen. Erst im Dezember 2011 konnte Chrome endgültig die Unterstützung für MD5-Zertifikate abschaffen.

In Diskussionen im CA/Browser-Forum hat sich laut Sleevi gezeigt, dass die Zertifizierungsstellen SHA-1 bislang nicht als signifikantes Risiko betrachten. Obwohl das CA/Browser-Forum schon 2011 Empfehlungen herausgegeben hat, SHA-1 nicht mehr zu nutzen, wird der Algorithmus weiter verwendet. Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht unterstützt, ist der Internet Explorer unter einem Windows XP ohne Service Pack 2.

Microsoft hat bereits im vergangenen Jahr angekündigt, 2017 die Unterstützung für SHA-1 einzustellen, jedoch bisher keine großen Änderungen umgesetzt. Sleevi deutet an, dass er befürchtet, Microsoft könnte von seinem Plan wieder abrücken.

Bei SHA-1-signierten Zertifikaten, die 2016 noch gültig sind, soll Chrome künftig ein verändertes Symbol für verschlüsselte Verbindungen anzeigen. Eine Warnung zum Wegklicken soll es nicht geben. SHA-1-Zertifikate, die auch 2017 noch gültig sind, sollen als "Mixed Content" behandelt werden. Das bedeutet: Eine Seite, die ein als sicher akzeptiertes Zertifikat besitzt, kann keine dynamischen Inhalte wie JavaScript von einer Seite einbinden, die ein solches schwaches Zertifikat besitzt.

Laut Statistiken von Google sind 14 Prozent der genutzten HTTPS-Zertifikate mit SHA-1 signiert und 2016 noch gültig. Sie wären somit von der Änderung betroffen. 6,2 Prozent sind selbst 2017 noch gültig. Das Zertifikat von Google.com ist ebenfalls mit SHA-1 signiert, läuft allerdings nur noch bis Oktober 2014.



Anzeige
Top-Angebote
  1. (heute u. a. Nintendo Switch Grau für 289€, Filmneuheiten, Saug- und Mähroboter, Philips Hue...
  2. (u. a. Samsung Galaxy A6 für 179€ und reduzierte Spiele)
  3. 34,99€ (Bestpreis!)
  4. 33€ (Bestpreis!)

billyx 21. Aug 2014

Leider Youtube beim abspielen von Videos und Amazon (inkl. deren Cloud/Hosting). Daher...

janb 20. Aug 2014

Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht...


Folgen Sie uns
       


Offroad mit dem Audi E-Tron

Mit dem neuen Audi E-Tron fährt es sich leicht durch unwegsames Gelände.

Offroad mit dem Audi E-Tron Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

    •  /