Google Chrome blockiert ab Januar neue SHA-1-Zertifikate

Es lässt sich nicht von seinem Zeitplan abbringen: Nach seinen Recherchen sind mit Cloud-Ressourcen errechnete SHA-1-Collisions schon heute für kriminelle Organisationen erschwinglich. Das mit Microsoft und Mozilla abgestimmte endgültige Aus für SHA-1-Zertifikate - spätestens zum 1. Januar 2017 - erwägt Google auf den 1. Juli 2016 vorzuverlegen.

Googles Chrome-Team hat entschieden, wie geplant die Unterstützung von Zertifikaten auslaufen zu lassen, die mit dem Hash-Algorithmus SHA-1 erstellt wurden. Das schreiben die Chrome-Mitarbeiter Lucas Garron und David Benjamin in einem Blogbeitrag. CloudFlare und Facebook hatten kürzlich im Interesse von Anwendern mit rückständiger Technik für neue SHA-1-Zertifikate geworben.

(Bild: Google)Google sieht zwei Schritte vor. Zunächst wird Chrome 48 schon bald im nächsten Jahr SHA-1-Zertifikate nicht mehr akzeptieren, die am 1. Januar 2016 oder später ausgestellt wurden. Ausgenommen sind zu diesem Zeitpunkt noch Zertifikate, die lokal als vertrauenswürdig eingestuft werden und sich nicht auf eine öffentliche Certificate Authority (CA) beziehen. Spätestens ab 1. Januar 2017 wird Chrome dann überhaupt keine SHA-1-Zertifikate mehr unterstützen.

Der Termin ist mit Microsofts Edge-Team und den Firefox-Entwicklern bei Mozílla abgestimmt, wie Google betont. Man erwäge allerdings, den Termin auf den 1. Juli 2016 nach vorne zu verschieben. Dieser zweite Schritt soll dann auch Zertifikate betreffen, die nicht von einer öffentlichen Certificate Authority stammen.

Fehlermeldung zu unsicherem Zertifikat in Chrome (Bild: Google)

Mit dem Schritt will Google Sorge tragen, dass verschlüsselte Verbindungen mit SSL/TSL tatsächlich vertraulich sind. SHA-1 gilt seit 2006 als problembehaftet. Google hat unter dem Stichwort „The SHAppening“ weitere Belege zusammengetragen, dass die Kosten für eine SHA-1-Collision, also die Nachahmung eines solchen Zertifikats mithilfe von Cloud-Ressourcen wie Amazon EC2, bereits im Herbst 2015 für kriminelle Organisationen erschwinglich sind. Große Firmen und Regierungen könnten ohnehin eigene Ressourcen nutzen. SHA-1 sei also ein Jahr vor dem Support-Ende eindeutig nicht mehr sicher.

Zugleich wird mit Chrome 48 im Januar auch – ebenfalls wie geplant – Unterstützung für RC4-Verschlüsselungsalgorithmen auslaufen. Website-Betreibern empfiehlt Google darüber hinaus, TLS 1.2 zu unterstützen und die Verschlüsselungssuite ECDHE_RSA_WITH_AES_128_GCM zu priorisieren.

CloudFlare und Facebook hatten vor einer Woche ein Verfahren für Server vorgeschlagen, um im Notfall auf SHA1-basierte Zertifikate zurückzufallen, wenn der Browser eines Anwenders nicht mehr zu bieten hat. Ansonsten könne man mit 7 Prozent aller weltweit eingesetzten Browser nicht mehr verschlüsselt mit Webservern kommunizieren, wovon insbesondere ältere Feature Phones betroffen sind. CloudFlare rechnet dies auf 37 Millionen Anwender hoch.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen bei ITespresso.

Neueste Kommentare 

1 Kommentar zu Google Chrome blockiert ab Januar neue SHA-1-Zertifikate

Kommentar hinzufügen
  • Am 24. Dezember 2015 um 17:01 von Bernd Eckenfels

    Auf der Shappening site steht nichts von Google. Die drei Researcher bennenen Ihre Unis und die Förderprogramme, da ist Google nicht dabei. Das ist einfach nur bei „Google Sites“ gehosted.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *