Zertifikate: Mozilla erteilt Ausnahme für SHA-1-Zertifikate

Die Firma Worldpay PLC bekommt eine Ausnahme: Mozilla erlaubt die Ausstellung von Zertifikaten auf der Basis des unsicheren Hash-Algorithmus SHA-1, wie der bei Mozilla für die Sicherheit verantwortliche Richard Barnes im Mozilla Security Blog berichtet.

Symantec hatte im Namen des Finanzdienstleisters Worldpay um eine Ausnahme gebeten, da das Unternehmen noch nicht bereit sei, seine Kreditkartenleser und andere Geräte auf SHA-2 umzustellen. Zudem hatte es versäumt, vorhandene SHA-1-Zertifikate vor dem 31. Dezember 2015 erneuern zu lassen. Es handelt sich um neun Zertifikate, die vor dem 28. Februar 2016 erneuert werden mussten, um zu verhindern, dass weltweit rund 10.000 Bezahlterminals ausfallen.

CAs und Unternehmen wie Mozilla, Google und Microsoft hatten beschlossen, ab dem 1. Januar 2016 keinen neu ausgestellten SHA-1-basierten Zertifikaten mehr zu vertrauen. Bereits seit 2005 ist bekannt, dass SHA-1 nicht sonderlich sicher ist und sich mit hohem Aufwand knacken lässt, zuletzt hatte ein Forscherteam im Herbst 2015 diese theoretischen Angriffe weiter verbessert. CAs, die solche Zertifikate trotzdem ausstellen, sollten aus den Browsern verbannt werden. Ab Mitte des Jahres oder ab Jahresanfang 2017 soll auch keinen älteren SHA1-Zertifikaten mehr vertraut werden.

Nach einer längeren Diskussion beschloss Mozilla jedoch, die angeforderten neun Zertifikate unter verschärften Bedingungen zu akzeptieren. So gelten die Zertifikate lediglich 90 Tage. Der Prozess der Ausstellung muss zudem gegenüber Mozilla völlig transparent ablaufen. In der Branche der Finanzdienstleister soll es noch weitere Unternehmen mit ähnlichen Problemen geben. Wie sich andere Browserhersteller wie Google oder Microsoft zu dem Ansinnen von Symantec verhalten, ist derzeit noch unklar.