Chrome 48 blockiert bestimmte SHA-1 Zeritifikate

 

In wenigen Wochen wird Google Chrome 48 erscheinen. Diese Version wird die nächste Stufe für den Abschied von SHA-1-signierten Zertifikaten enthalten. Bestimmte SHA-1-Zertifikate werden nicht mehr akzeptiert. In spätestens einem Jahr ist dann Schluss mit SHA-1-Zertifikaten.

Unter folgenden Umständen werden die Zertifikate nicht mehr akzeptiert:

• Signatur basiert auf SHA-1
• Das Zertifikat wurde am oder nach dem 1. Januar 2016
• Das Zertifikat ist von einer öffentlichen Zertifizierungsstelle signiert.

Eigentlich sollte keiner Nutzer diese Meldung jemals zu Gesicht bekommen, weil öffentliche Zertifizierungsstellen unter dem Baseline Requirements for SSL keine neuen Zertifikate ab 2016 mehr mit SHA-1 signieren dürfen.

Im Laufe des Jahres wird Google ähnliche Regelungen für Zwischenzertifikate in Chrome implementieren. Dies soll sicher stellen, dass Webseitenbetreiber auf den Schritt ab dem 1. Januar 2017 vorbereitet sind. Ab dann wird Google Chrome keine Zertifikate mehr unterstützen, die SHA-1 verwenden. Microsoft und Mozilla haben ähnliches angekündigt.

Selbst ausgestellte Zertifikate, oder Zertifikate, die über eine interne CA signiert wurden, können weiterhin mit SHA-1 verwenden.

Spätestens am 1. Januar ist dann aber Schluss mit Chrome und SHA-1 Zertifikaten. Es gibt aber auch Überlegungen diesen Schritt vorzuziehen und bereits am 1. Juli keine Zertifikate mit SHA-1-Signaturen mehr zu zu lassen.

Chrome verwendet in der Regel die Schnittstellen des Systems. Wenn nun Microsoft den Schritt vorzieht, wird Chrome auf Windows schon früher betroffen sein.

Das Ziel von Google, Mozilla und Microsoft ist es, dass SHA-1 möglichst schnell aus dem Internet verschwindet. Bei den Zertifikaten, die mit MD5 signiert wurden, hat es sehr lange gedauert, bis die Unterstützung ausgelaufen ist.

SHA-1 gilt seit mehr als zehn Jahren als kaputt und unsicher.

[via]

---

---