Chrome akzeptiert ab 2016 keine neu ausgestellten Zertifikate, die mit dem Hash-Algorithmus SHA-1 erstellt wurden. Das haben die beiden Google-Entwickler Lucas Garron und David Benjamin in einem Blogbeitrag bekannt gegeben. Lediglich lokal als vertrauenswürdig eingestufte Varianten, die sich nicht auf eine öffentliche Certificate Authority (CA) beziehen, bleiben von dieser Regelung ausgenommen. Spätestens ab 1. Januar 2017 wird Chrome überhaupt keine SHA-1-Zertifikate mehr unterstützen.
Für das Ende von SHA-1-Zertifikaten sorgen auch Microsoft und Mozilla, die mit ihren Browsern Edge und Firefox den gleichen Zeitplan wie Google verfolgen. In Diskussion ist derzeit allerdings, ob man das endgültige Ende von SHA-1-Zertifikaten auf den 1. Juli 2016 vorziehen solle. Ab diesem Termin sind auch alle SHA-1-Zertifikate nicht mehr gültig, die nicht von einer Certificate Authority stammen.
Mit der Maßnahme wollen die Browserhersteller dafür sorgen, dass verschlüsselte Verbindungen mit SSL/TSL tatsächlich vertraulich sind. SHA-1 gilt seit 2006 als problembehaftet. Google hat unter dem Stichwort “The SHAppening” weitere Belege zusammengetragen, dass die Kosten für eine SHA-1-Collision, also die Nachahmung eines solchen Zertifikats mithilfe von Cloud-Ressourcen wie Amazon EC2, bereits im Herbst 2015 für kriminelle Organisationen erschwinglich sind. Große Firmen und Regierungen könnten ohnehin eigene Ressourcen nutzen. SHA-1 sei also ein Jahr vor dem Support-Ende eindeutig nicht mehr sicher.
Zugleich wird mit Chrome 48 im Januar auch – ebenfalls wie geplant – Unterstützung für RC4-Verschlüsselungsalgorithmen auslaufen. Website-Betreibern empfiehlt Google darüber hinaus, TLS 1.2 zu unterstützen und die Verschlüsselungssuite ECDHE_RSA_WITH_AES_128_GCM zu priorisieren.
CloudFlare und Facebook hatten vor einer Woche ein Verfahren für Server vorgeschlagen, um im Notfall auf SHA1-basierte Zertifikate zurückzufallen, wenn der Browser eines Anwenders nicht mehr zu bieten hat. Ansonsten könne man mit 7 Prozent aller weltweit eingesetzten Browser nicht mehr verschlüsselt mit Webservern kommunizieren, wovon insbesondere ältere Feature Phones betroffen sind. CloudFlare rechnet dies auf 37 Millionen Anwender hoch.
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
[mit Material von Florian Kalenda, ZDNet.de]
In Deutschland ist der Infostealer Formbook weiterhin Spitzenreiter und für rund 18,5 Prozent aller Malware-Infektionen…
HP Wolf Security-Studie: fehlende Lieferanten-Audits, schwache BIOS-Passwörter, Fear of Making Updates, Epidemie verlorener Geräte und…
Datenpannen sorgen nicht nur für aufmerksamkeitsstarke Schlagzeilen – sie sind eine Erinnerung an die Schwachstellen,…
Das Zusammenspiel von Cloud und KI stellt Hyperscaler, IT-Partner und Endkunden vor neue Herausforderungen.
Auf Basis der Lösungen Customer 360 und Data Cloud im Zusammenspiel mit Agentforce will Hotelkette…
Mikroautomatisierungen sind ein wichtiger Bestandteil der aktuellen Entwicklungen, sagt Sofiane Fessi von Dataiku im Interview.