• IT-Karriere:
  • Services:

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

Artikel veröffentlicht am , Hanno Böck
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden.
Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot)

Google will im Chrome-Browser vor Zertifikaten warnen, die mit dem Hashalgorithmus SHA-1 signiert und noch bis 2016 gültig sind. Google reagiert damit darauf, dass sehr viele Zertifizierungsstellen noch immer SHA-1-Zertifikate ausstellen und dies offenbar nicht ändern wollen. Seit 2004 ist bekannt, dass Kollisionsangriffe gegen SHA-1 prinzipiell möglich sind. In der Praxis ist ein solcher Angriff noch nicht durchgeführt worden, da er teure Spezialhardware erfordert. Für einen finanzstarken Angreifer wäre dies jedoch möglich.

Stellenmarkt
  1. finanzen.de, Berlin
  2. Rodenstock GmbH, Regen

Google-Entwickler Ryan Sleevi schreibt, dass die Abschaffung von SHA-1 besser ablaufen müsse als die von MD5. Bereits 1995 waren erste Schwächen im MD5-Algorithmus entdeckt worden, 2004 konnten Kollisionsangriffe gegen MD5 gezeigt werden. Damit war klar, dass der Algorithmus für digitale Signaturen nicht mehr verwendet werden sollte. Trotzdem nutzten die meisten Zertifizierungsstellen MD5 weiter, und noch 2008 gelang es einem Forscherteam dank der MD5-Schwäche, eine komplett gefälschte Zertifizierungsstelle zu erzeugen. Erst im Dezember 2011 konnte Chrome endgültig die Unterstützung für MD5-Zertifikate abschaffen.

In Diskussionen im CA/Browser-Forum hat sich laut Sleevi gezeigt, dass die Zertifizierungsstellen SHA-1 bislang nicht als signifikantes Risiko betrachten. Obwohl das CA/Browser-Forum schon 2011 Empfehlungen herausgegeben hat, SHA-1 nicht mehr zu nutzen, wird der Algorithmus weiter verwendet. Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht unterstützt, ist der Internet Explorer unter einem Windows XP ohne Service Pack 2.

Microsoft hat bereits im vergangenen Jahr angekündigt, 2017 die Unterstützung für SHA-1 einzustellen, jedoch bisher keine großen Änderungen umgesetzt. Sleevi deutet an, dass er befürchtet, Microsoft könnte von seinem Plan wieder abrücken.

Bei SHA-1-signierten Zertifikaten, die 2016 noch gültig sind, soll Chrome künftig ein verändertes Symbol für verschlüsselte Verbindungen anzeigen. Eine Warnung zum Wegklicken soll es nicht geben. SHA-1-Zertifikate, die auch 2017 noch gültig sind, sollen als "Mixed Content" behandelt werden. Das bedeutet: Eine Seite, die ein als sicher akzeptiertes Zertifikat besitzt, kann keine dynamischen Inhalte wie JavaScript von einer Seite einbinden, die ein solches schwaches Zertifikat besitzt.

Laut Statistiken von Google sind 14 Prozent der genutzten HTTPS-Zertifikate mit SHA-1 signiert und 2016 noch gültig. Sie wären somit von der Änderung betroffen. 6,2 Prozent sind selbst 2017 noch gültig. Das Zertifikat von Google.com ist ebenfalls mit SHA-1 signiert, läuft allerdings nur noch bis Oktober 2014.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 39,99€
  2. 14,99€
  3. 9,49€
  4. (-29%) 9,99€

billyx 21. Aug 2014

Leider Youtube beim abspielen von Videos und Amazon (inkl. deren Cloud/Hosting). Daher...

janb 20. Aug 2014

Der einzig relevante Browser, der Zertifikate mit dem stärkeren Algorithmus SHA-256 nicht...


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

    •  /