CloudFlare und Facebook fürchten, dass eine zweistellige Millionenzahl Internetnutzer gar keine Webseitenverschlüsselung mehr in Anspruch nehmen kann, wenn zu Monatsende die Unterstützung für die Hashfunktion SHA-1 ausläuft. Facebook argumentiert, der Nachfolger SHA-256 werde von 7 Prozent aller weltweit eingesetzten Browser nicht unterstützt. CloudFlare rechnet dies auf 37 Millionen Anwender hoch.
Um das Problem zu lösen, schlagen CloudFlare und Facebook ein Verfahren vor, um im Notfall auf SHA1-basierte Zertifikate zurückzufallen, wenn der Browser eines Anwenders nicht mehr zu bieten hat. Diese Lösung wollen sie quelloffen machen, sodass auch andere Sites sie nutzen können. So wird neben Facebook selbst auch der chinesische Alibaba-Konzern diesen Code auf seinen Servern einsetzen.
Um den Verzicht auf SHA-256 aber nicht zu leicht zu machen, schlagen die Unternehmen vor, eine neue Zertifikatsklasse einzuführen: „Legacy Validated“ oder kurz LV. Sie dienen dem fortgesetzten Einsatz von mit SHA-1 gehashten Zertifikaten – sollen aber nur an Firmen ausgegeben werden, die Unterstützung von SHA-256 für Anwender mit modernem Browser demonstrieren konnten.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
In einem Blogbeitrag schreibt Facebooks Chief Security Officer Alex Stamos, man halte es nicht für richtig, mehrere zehn Millionen Menschen um die Errungenschaft des verschlüsselten Internets zu bringen. Einsteigergeräte in Entwicklungsmärkten seien oft nicht zu SHA-256 kompatibel. „Wir sollten in Privatsphäre und Sicherheit für diese Menschen investieren, nicht ihnen eine sichere Internetnutzung erschweren.“
SHA-256 ist in allen modernen Browsern enthalten, steht aber insbesondere Anwendern nicht zu Gebot, die Android vor Gingerbread (2.2.x oder früher) oder Windows XP vor Service Pack 3 einsetzen – sowie auf zahlreichen seit Jahren nicht mehr aktualisierten Feature Phones. Als Kritiker des Vorschlags von CloudFlare und Facebook führt Ars Technica insbesondere Google-Mitarbeiter Ryan Sleevi an. Dieser verweist auf die seit 2006 anhaltende Kritik an SHA-1, merkt aber auch an, dass etwa ein Start-up in Ghana Probleme haben würde, an ein LV-Zertifikat zu kommen – ganz im Gegensatz zu Facebook. Und gegen veraltete Smartphones und PCs etwa mit einer frühen XP-Version müsse ohnehin ganzheitlich vorgegangen werden.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
