Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Zertifikate: Mozilla erteilt Ausnahme für SHA-1-Zertifikate

Ab diesem Jahr wollte Mozilla SHA-1 nicht mehr vertrauen. Nun hat es doch die Ausstellung mehrerer Zertifikate auf Basis des nachweislich unsicheren Hash-Algorithmus genehmigt.
/ Ferdinand Thommes
6 Kommentare undefined News folgen (öffnet im neuen Fenster)
Mozilla erlaubt Ausnahme bei SHA-1-Zertifikaten. (Bild: Wikipedia)
Mozilla erlaubt Ausnahme bei SHA-1-Zertifikaten. Bild: Wikipedia / CC-BY 3.0

Die Firma Worldpay PLC(öffnet im neuen Fenster) bekommt eine Ausnahme: Mozilla erlaubt die Ausstellung von Zertifikaten auf der Basis des unsicheren Hash-Algorithmus SHA-1(öffnet im neuen Fenster) , wie der bei Mozilla für die Sicherheit verantwortliche Richard Barnes im Mozilla Security Blog(öffnet im neuen Fenster) berichtet.

Symantec hatte im Namen des Finanzdienstleisters Worldpay um eine Ausnahme gebeten, da das Unternehmen noch nicht bereit sei, seine Kreditkartenleser und andere Geräte auf SHA-2 umzustellen. Zudem hatte es versäumt, vorhandene SHA-1-Zertifikate vor dem 31. Dezember 2015 erneuern zu lassen. Es handelt sich um neun Zertifikate, die vor dem 28. Februar 2016 erneuert werden mussten, um zu verhindern, dass weltweit rund 10.000 Bezahlterminals ausfallen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Project Coordinator (f/m/d) with Focus on Educational and Administrative AI Technologies Universität Potsdam, Potsdam,Homeoffice (öffnet im neuen Fenster)
IT Systems Engineer (m/w/d) in Vollzeit (40 Std.) IfM Ingenieurbüro für Medizintechnik GmbH, Wettenberg (öffnet im neuen Fenster)
IT System und Support Administrator (Fachinformatiker) (m/w/d) Bedifol GmbH, Konstanz (öffnet im neuen Fenster)
Assistenz Young Researchers Relations (m/w/d) Heidelberg Laureate Forum Foundation, Heidelberg (öffnet im neuen Fenster)
Senior Account Manager ITK (w/m/d) in Magdeburg Telcat Multicom GmbH, Magdeburg (öffnet im neuen Fenster)
Fachinformatiker (m/w/d) Deutsches Krebsforschungszentrum (DKFZ), Heidelberg (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) - Infrastruktur & Cloud RIWA GmbH, Memmingen (öffnet im neuen Fenster)
Fachreferent - Geräteverwaltung (m/w/d) VOLTARIS GmbH, Merzig (öffnet im neuen Fenster)

CAs und Unternehmen wie Mozilla, Google und Microsoft hatten beschlossen, ab dem 1. Januar 2016 keinen neu ausgestellten SHA-1-basierten Zertifikaten mehr zu vertrauen. Bereits seit 2005 ist bekannt, dass SHA-1 nicht sonderlich sicher ist und sich mit hohem Aufwand knacken lässt, zuletzt hatte ein Forscherteam im Herbst 2015 diese theoretischen Angriffe weiter verbessert(öffnet im neuen Fenster) . CAs, die solche Zertifikate trotzdem ausstellen, sollten aus den Browsern verbannt werden. Ab Mitte des Jahres oder ab Jahresanfang 2017 soll auch keinen älteren SHA1-Zertifikaten mehr vertraut werden.

Nach einer längeren Diskussion(öffnet im neuen Fenster) beschloss Mozilla jedoch, die angeforderten neun Zertifikate unter verschärften Bedingungen(öffnet im neuen Fenster) zu akzeptieren. So gelten die Zertifikate lediglich 90 Tage. Der Prozess der Ausstellung muss zudem gegenüber Mozilla völlig transparent ablaufen. In der Branche der Finanzdienstleister soll es noch weitere Unternehmen mit ähnlichen Problemen geben. Wie sich andere Browserhersteller wie Google oder Microsoft zu dem Ansinnen von Symantec verhalten, ist derzeit noch unklar.

Zur Startseite 6 Kommentare

Relevante Themen

VerschlüsselungOpen SourceSecurityWissenSymantecZertifikatSHA-1