Chrome akzeptiert ab 2016 keine neu ausgestellten Zertifikate, die mit dem Hash-Algorithmus SHA-1 erstellt wurden. Das haben die beiden Google-Entwickler Lucas Garron und David Benjamin in einem Blogbeitrag bekannt gegeben. Lediglich lokal als vertrauenswürdig eingestufte Varianten, die sich nicht auf eine öffentliche Certificate Authority (CA) beziehen, bleiben von dieser Regelung ausgenommen. Spätestens ab 1. Januar 2017 wird Chrome überhaupt keine SHA-1-Zertifikate mehr unterstützen.
Für das Ende von SHA-1-Zertifikaten sorgen auch Microsoft und Mozilla, die mit ihren Browsern Edge und Firefox den gleichen Zeitplan wie Google verfolgen. In Diskussion ist derzeit allerdings, ob man das endgültige Ende von SHA-1-Zertifikaten auf den 1. Juli 2016 vorziehen solle. Ab diesem Termin sind auch alle SHA-1-Zertifikate nicht mehr gültig, die nicht von einer Certificate Authority stammen.
Mit der Maßnahme wollen die Browserhersteller dafür sorgen, dass verschlüsselte Verbindungen mit SSL/TSL tatsächlich vertraulich sind. SHA-1 gilt seit 2006 als problembehaftet. Google hat unter dem Stichwort “The SHAppening” weitere Belege zusammengetragen, dass die Kosten für eine SHA-1-Collision, also die Nachahmung eines solchen Zertifikats mithilfe von Cloud-Ressourcen wie Amazon EC2, bereits im Herbst 2015 für kriminelle Organisationen erschwinglich sind. Große Firmen und Regierungen könnten ohnehin eigene Ressourcen nutzen. SHA-1 sei also ein Jahr vor dem Support-Ende eindeutig nicht mehr sicher.
Zugleich wird mit Chrome 48 im Januar auch – ebenfalls wie geplant – Unterstützung für RC4-Verschlüsselungsalgorithmen auslaufen. Website-Betreibern empfiehlt Google darüber hinaus, TLS 1.2 zu unterstützen und die Verschlüsselungssuite ECDHE_RSA_WITH_AES_128_GCM zu priorisieren.
CloudFlare und Facebook hatten vor einer Woche ein Verfahren für Server vorgeschlagen, um im Notfall auf SHA1-basierte Zertifikate zurückzufallen, wenn der Browser eines Anwenders nicht mehr zu bieten hat. Ansonsten könne man mit 7 Prozent aller weltweit eingesetzten Browser nicht mehr verschlüsselt mit Webservern kommunizieren, wovon insbesondere ältere Feature Phones betroffen sind. CloudFlare rechnet dies auf 37 Millionen Anwender hoch.
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
[mit Material von Florian Kalenda, ZDNet.de]
Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…
Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.
Initiative von Cisco und Amperion ermöglicht schnellere Datenübertragungsgeschwindigkeiten mithilfe der Routed Optical Networking (RON)-Technologie.
Manufacturing-X als Antwort auf internationale Zollkonflikte, globale Lieferkettenprobleme und Abhängigkeit von meist US-amerikanischen Tech-Konzernen.
Laut Studie ist jeder dritte Security-Experte davon überzeugt, dass Cyber-Immunität die Häufigkeit von Angriffen reduzieren…
Intralogistikspezialist SSI Schäfer integriert Bots, Regale, Arbeitsstationen und IT-Umgebungen zu Komplettlösungen für Lagerbetreiber.
