Abschied von SHA-1 in Chrome

chrome 

Nach dem Microsoft schon vor einer Zeit angekündigt hat, dass man Zertifikate, die als Algorithmus SHA-1 verwenden, ab Anfang 2016 bzw. ab 2017 nicht mehr als vertrauenswürdig einstufen wird, hat Google nun auch für Google Chrome Änderungen angekündigt.

In mehreren Stufen wird das Vertrauen in die Zertifikate zurück gebaut. Los geht es mit Google Chrome 39, der seinen Branchpunkt in knapp drei Wochen haben wird.

End-entity (“leaf”) certificates, die am oder nach dem 1. Januar 2017 ablaufen, werden in Chrome 39 als „secure, but with minor errors“ also als „sicher, aber mit kleineren Fehlern“ eingestuft. Das grüne Schloss wird durch ein Schloss mit einem gelben Dreieck ersetzt:

Chrome 39 SHA-1 SSL
Chrome 39 SHA-1

Ab Chrome 40 (Branchpoint im November 2014, Release im Stable Channel Anfang 2015 werden Zertifiktate, die SHA-1 verwenden und zwischen dem 1. Juni und dem 31. Dezember ablaufen, als „sicher, aber mit kleineren Fehlern“ werden eingestuft. Zertifiktate, die nach dem 1. Januar 2017 gültig sind, haben in der Omnibox dann kein Schloss mehr:

Chrome 40 SHA-1
Chrome 40 SHA-1

Irgendwann im ersten Quartal 2015 wird Chrome 41 seinen Branchpoint haben. Zertifikate, die nach dem 1. Januar 2017 noch gültig sind und SHA-1 verwenden werden als affirmatively insecure eingestuft.

Aktuell erscheint dann ein durchgestrichenes https sowie ein Schloss mit einem x.

SHA-1 Chrome 41
SHA-1 Chrome 41

Viele Zertifizierungsstellen geben inzwischen Zertifikatestandardmäßig mit sha256 aus.

Auch Mozilla plant derzeit Zertifikaten, die SHA-1 verwenden, das Vertrauen zu entziehen.

Bereits vor 9 Jahren wurde festgestellt, dass SHA-1 nicht so sicher ist, wie man dachte. Durch Kollisionen können Angreifer auch bei verschlüsselten Webseiten abgreifen. Weitere Infos zu den Schritten von Google gibt es in der Ankündigung. Weiteres zu Microsoft gibt es hier.

Teile diesen Artikel:

comment ommentare zur “Abschied von SHA-1 in Chrome

  • Ich bin nicht davon begeistert. Microsoft hat einen Zeitplan vorgegeben bei dem sie ab 2017 keine SHA-1 signierten Zertifikate mehr akzeptieren. Punkt.

    Jetzt wird Panik verbreitet weil Google der Meinung ist das sie ihre Nutzerbasis dazu verwenden sollten Druck auf die Seitenbetreiber auszuüben.

    Aus dem was ein sanfter Übergang hätte werden können, wird jetzt wohl ein heilloses Chaos bei dem die Admins das meiste abkriegen obwohl sie nichts falsch gemacht haben.
    Bis Microsoft im März 2014 seinen Zeitplan vorgelegt hat, hat kaum ein Anbieter SSL Zertifikate mit SHA-256 Signatur angeboten bzw. tun das immer noch nicht.

Kommentare sind geschlossen.