Abo
  • IT-Karriere:

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

Artikel veröffentlicht am , Hanno Böck
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden.
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot)

Google will im Chrome-Browser vor Zertifikaten warnen, die mit dem Hashalgorithmus SHA-1 signiert und noch bis 2016 gültig sind. Google reagiert damit darauf, dass sehr viele Zertifizierungsstellen noch immer SHA-1-Zertifikate ausstellen und dies offenbar nicht ändern wollen. Seit 2004 ist bekannt, dass Kollisionsangriffe gegen SHA-1 prinzipiell möglich sind. In der Praxis ist ein solcher Angriff noch nicht durchgeführt worden, da er teure Spezialhardware erfordert. Für einen finanzstarken Angreifer wäre dies jedoch möglich.

Stellenmarkt
  1. SULO Digital GmbH, Herford
  2. Süwag Energie AG, Frankfurt am Main

Google-Entwickler Ryan Sleevi schreibt, dass die Abschaffung von SHA-1 besser ablaufen müsse als die von MD5. Bereits 1995 waren erste Schwächen im MD5-Algorithmus entdeckt worden, 2004 konnten Kollisionsangriffe gegen MD5 gezeigt werden. Damit war klar, dass der Algorithmus für digitale Signaturen nicht mehr verwendet werden sollte. Trotzdem nutzten die meisten Zertifizierungsstellen MD5 weiter, und noch 2008 gelang es einem Forscherteam dank der MD5-Schwäche, eine komplett gefälschte Zertifizierungsstelle zu erzeugen. Erst im Dezember 2011 konnte Chrome endgültig die Unterstützung für MD5-Zertifikate abschaffen.

In Diskussionen im CA/Browser-Forum hat sich laut Sleevi gezeigt, dass die Zertifizierungsstellen SHA-1 bislang nicht als signifikantes Risiko betrachten. Obwohl das CA/Browser-Forum schon 2011 Empfehlungen herausgegeben hat, SHA-1 nicht mehr zu nutzen, wird der Algorithmus weiter verwendet. Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht unterstützt, ist der Internet Explorer unter einem Windows XP ohne Service Pack 2.

Microsoft hat bereits im vergangenen Jahr angekündigt, 2017 die Unterstützung für SHA-1 einzustellen, jedoch bisher keine großen Änderungen umgesetzt. Sleevi deutet an, dass er befürchtet, Microsoft könnte von seinem Plan wieder abrücken.

Bei SHA-1-signierten Zertifikaten, die 2016 noch gültig sind, soll Chrome künftig ein verändertes Symbol für verschlüsselte Verbindungen anzeigen. Eine Warnung zum Wegklicken soll es nicht geben. SHA-1-Zertifikate, die auch 2017 noch gültig sind, sollen als "Mixed Content" behandelt werden. Das bedeutet: Eine Seite, die ein als sicher akzeptiertes Zertifikat besitzt, kann keine dynamischen Inhalte wie JavaScript von einer Seite einbinden, die ein solches schwaches Zertifikat besitzt.

Laut Statistiken von Google sind 14 Prozent der genutzten HTTPS-Zertifikate mit SHA-1 signiert und 2016 noch gültig. Sie wären somit von der Änderung betroffen. 6,2 Prozent sind selbst 2017 noch gültig. Das Zertifikat von Google.com ist ebenfalls mit SHA-1 signiert, läuft allerdings nur noch bis Oktober 2014.



Anzeige
Hardware-Angebote
  1. 58,99€
  2. 199€ + Versand
  3. ab 234,90€

billyx 21. Aug 2014

Leider Youtube beim abspielen von Videos und Amazon (inkl. deren Cloud/Hosting). Daher...

janb 20. Aug 2014

Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht...


Folgen Sie uns
       


Energizer Power Max P18K Pop - Hands on (MWC 2019)

Ein Smartphone wie ein Ziegelstein: das Energizer Power Max P18K Pop hat einen 18.000 mAh starken Akku.

Energizer Power Max P18K Pop - Hands on (MWC 2019) Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd

    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

      •  /