Abo
  • Services:
Anzeige
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden.
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot)

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

Anzeige

Google will im Chrome-Browser vor Zertifikaten warnen, die mit dem Hashalgorithmus SHA-1 signiert und noch bis 2016 gültig sind. Google reagiert damit darauf, dass sehr viele Zertifizierungsstellen noch immer SHA-1-Zertifikate ausstellen und dies offenbar nicht ändern wollen. Seit 2004 ist bekannt, dass Kollisionsangriffe gegen SHA-1 prinzipiell möglich sind. In der Praxis ist ein solcher Angriff noch nicht durchgeführt worden, da er teure Spezialhardware erfordert. Für einen finanzstarken Angreifer wäre dies jedoch möglich.

Google-Entwickler Ryan Sleevi schreibt, dass die Abschaffung von SHA-1 besser ablaufen müsse als die von MD5. Bereits 1995 waren erste Schwächen im MD5-Algorithmus entdeckt worden, 2004 konnten Kollisionsangriffe gegen MD5 gezeigt werden. Damit war klar, dass der Algorithmus für digitale Signaturen nicht mehr verwendet werden sollte. Trotzdem nutzten die meisten Zertifizierungsstellen MD5 weiter, und noch 2008 gelang es einem Forscherteam dank der MD5-Schwäche, eine komplett gefälschte Zertifizierungsstelle zu erzeugen. Erst im Dezember 2011 konnte Chrome endgültig die Unterstützung für MD5-Zertifikate abschaffen.

In Diskussionen im CA/Browser-Forum hat sich laut Sleevi gezeigt, dass die Zertifizierungsstellen SHA-1 bislang nicht als signifikantes Risiko betrachten. Obwohl das CA/Browser-Forum schon 2011 Empfehlungen herausgegeben hat, SHA-1 nicht mehr zu nutzen, wird der Algorithmus weiter verwendet. Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht unterstützt, ist der Internet Explorer unter einem Windows XP ohne Service Pack 2.

Microsoft hat bereits im vergangenen Jahr angekündigt, 2017 die Unterstützung für SHA-1 einzustellen, jedoch bisher keine großen Änderungen umgesetzt. Sleevi deutet an, dass er befürchtet, Microsoft könnte von seinem Plan wieder abrücken.

Bei SHA-1-signierten Zertifikaten, die 2016 noch gültig sind, soll Chrome künftig ein verändertes Symbol für verschlüsselte Verbindungen anzeigen. Eine Warnung zum Wegklicken soll es nicht geben. SHA-1-Zertifikate, die auch 2017 noch gültig sind, sollen als "Mixed Content" behandelt werden. Das bedeutet: Eine Seite, die ein als sicher akzeptiertes Zertifikat besitzt, kann keine dynamischen Inhalte wie JavaScript von einer Seite einbinden, die ein solches schwaches Zertifikat besitzt.

Laut Statistiken von Google sind 14 Prozent der genutzten HTTPS-Zertifikate mit SHA-1 signiert und 2016 noch gültig. Sie wären somit von der Änderung betroffen. 6,2 Prozent sind selbst 2017 noch gültig. Das Zertifikat von Google.com ist ebenfalls mit SHA-1 signiert, läuft allerdings nur noch bis Oktober 2014.


eye home zur Startseite
billyx 21. Aug 2014

Leider Youtube beim abspielen von Videos und Amazon (inkl. deren Cloud/Hosting). Daher...

janb 20. Aug 2014

Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht...



Anzeige

Stellenmarkt
  1. Continental AG, Ingolstadt
  2. ASC Automotive Solution Center AG, Düsseldorf
  3. T-Systems International GmbH, Berlin
  4. Telekom Deutschland GmbH, Bonn


Anzeige
Top-Angebote
  1. 89,90€ (Vergleichspreis ab 129,84€)
  2. (u. a. Playstation 4 + Spiel + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)

Folgen Sie uns
       


  1. Passwortmanager

    1Password bietet sichere Passwörter beim Grenzübertritt

  2. QD-LCD mit LED-BLU

    Forscher kritisieren Samsungs QLED-Marketing

  3. Amazon, Maxdome, Netflix und Co.

    EU will europäische Filmquote etablieren

  4. XPS 13 (9365) im Test

    Dells Convertible zeigt alte Stärken und neue Schwächen

  5. Glaskorrosion

    CCDs in alten Leicas werden nicht mehr gratis ausgetauscht

  6. Zweitbildschirm

    Duet Display macht iPad Pro zum Zeichentablett für Mac und PC

  7. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  8. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  9. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  10. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

  1. Re: Die EU will hahaha...

    Niaxa | 10:16

  2. Die Zukunft schon heute...

    VigarLunaris | 10:14

  3. Re: Gute Massnahme !!!

    d0p3fish | 10:14

  4. Re: Spulenfiepen!?

    nopy | 10:13

  5. Re: Machen wir es wie Trump

    Muhaha | 10:12


  1. 10:19

  2. 10:00

  3. 09:35

  4. 09:03

  5. 07:28

  6. 07:14

  7. 16:58

  8. 16:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel