Abo
  • IT-Karriere:

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

Artikel veröffentlicht am , Hanno Böck
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden.
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot)

Google will im Chrome-Browser vor Zertifikaten warnen, die mit dem Hashalgorithmus SHA-1 signiert und noch bis 2016 gültig sind. Google reagiert damit darauf, dass sehr viele Zertifizierungsstellen noch immer SHA-1-Zertifikate ausstellen und dies offenbar nicht ändern wollen. Seit 2004 ist bekannt, dass Kollisionsangriffe gegen SHA-1 prinzipiell möglich sind. In der Praxis ist ein solcher Angriff noch nicht durchgeführt worden, da er teure Spezialhardware erfordert. Für einen finanzstarken Angreifer wäre dies jedoch möglich.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz

Google-Entwickler Ryan Sleevi schreibt, dass die Abschaffung von SHA-1 besser ablaufen müsse als die von MD5. Bereits 1995 waren erste Schwächen im MD5-Algorithmus entdeckt worden, 2004 konnten Kollisionsangriffe gegen MD5 gezeigt werden. Damit war klar, dass der Algorithmus für digitale Signaturen nicht mehr verwendet werden sollte. Trotzdem nutzten die meisten Zertifizierungsstellen MD5 weiter, und noch 2008 gelang es einem Forscherteam dank der MD5-Schwäche, eine komplett gefälschte Zertifizierungsstelle zu erzeugen. Erst im Dezember 2011 konnte Chrome endgültig die Unterstützung für MD5-Zertifikate abschaffen.

In Diskussionen im CA/Browser-Forum hat sich laut Sleevi gezeigt, dass die Zertifizierungsstellen SHA-1 bislang nicht als signifikantes Risiko betrachten. Obwohl das CA/Browser-Forum schon 2011 Empfehlungen herausgegeben hat, SHA-1 nicht mehr zu nutzen, wird der Algorithmus weiter verwendet. Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht unterstützt, ist der Internet Explorer unter einem Windows XP ohne Service Pack 2.

Microsoft hat bereits im vergangenen Jahr angekündigt, 2017 die Unterstützung für SHA-1 einzustellen, jedoch bisher keine großen Änderungen umgesetzt. Sleevi deutet an, dass er befürchtet, Microsoft könnte von seinem Plan wieder abrücken.

Bei SHA-1-signierten Zertifikaten, die 2016 noch gültig sind, soll Chrome künftig ein verändertes Symbol für verschlüsselte Verbindungen anzeigen. Eine Warnung zum Wegklicken soll es nicht geben. SHA-1-Zertifikate, die auch 2017 noch gültig sind, sollen als "Mixed Content" behandelt werden. Das bedeutet: Eine Seite, die ein als sicher akzeptiertes Zertifikat besitzt, kann keine dynamischen Inhalte wie JavaScript von einer Seite einbinden, die ein solches schwaches Zertifikat besitzt.

Laut Statistiken von Google sind 14 Prozent der genutzten HTTPS-Zertifikate mit SHA-1 signiert und 2016 noch gültig. Sie wären somit von der Änderung betroffen. 6,2 Prozent sind selbst 2017 noch gültig. Das Zertifikat von Google.com ist ebenfalls mit SHA-1 signiert, läuft allerdings nur noch bis Oktober 2014.



Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 25. Oktober)
  2. 3,99€
  3. 39,99€ (Release am 3. Dezember)
  4. (-50%) 2,50€

billyx 21. Aug 2014

Leider Youtube beim abspielen von Videos und Amazon (inkl. deren Cloud/Hosting). Daher...

janb 20. Aug 2014

Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht...


Folgen Sie uns
       


Samsung Galaxy Fold - Hands on (Ifa 2019)

Das Galaxy Fold scheint gerettet: Samsungs Verbesserungen zahlen sich aus, wie unser erster Test des Gerätes zeigt.

Samsung Galaxy Fold - Hands on (Ifa 2019) Video aufrufen
Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Samsung CRG9 im Test: Das Raumschiffcockpit für den Schreibtisch
Samsung CRG9 im Test
Das Raumschiffcockpit für den Schreibtisch

Keine Frage: An das Curved Panel und das 32:9-Format des Samsung CRG9 müssen wir uns erst gewöhnen. Dann aber wollen wir es fast nicht mehr hergeben. Dank der hohen Bildfrequenz und guten Auflösung vermittelt der Monitor ein immersives Gaming-Erlebnis - als wären wir mittendrin.
Ein Test von Oliver Nickel

  1. Speichertechnik Samsung will als Erster HBM2 in 12 Ebenen und 24 GByte bauen
  2. Samsung Fehler am Display des Galaxy Fold aufgetreten
  3. Samsung Displaywechsel beim Galaxy Fold einmalig vergünstigt möglich

IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

    •  /