Bisschen reißerisch, die Headline, aber diese bringt es auf den Punkt. Im Artikel SHA1-Hash bis Ende 2015 geknackt? hatte ich drauf hingewiesen, dass die Absicherung durch SHA-1 im Web nicht mehr lange sicher ist. So langsam steht der Wechsel zu SHA-2 für Webserver mit https-Verschlüsselung an.
Anzeige
Ähnlich wie das Year 2 K-Problem, könnte das Auslaufen der SHA-1-Unterstützung bei Webservern in 2016 unbemerkt vonstatten gehen. Es könnte aber auch sein, dass einige Millionen Nutzer plötzlich keine https-Webseiten mehr abrufen können, weil deren Browser nur SHA-1 unterstützen.
Um SHA-2 zu unterstützen, muss der Browser entsprechend aktualisiert werden. Das ist normalerweise kein Problem, die Browserhersteller machen das schon. Passiert dabei ein Fehler, knipst dieser den https-Zugang aber gnadenlos ab. Letztes Jahr hat Mozilla auf seiner Webseite das Zertifikat für die SHA-2-Unterstützung aktualisiert, worauf einige Nutzer, deren Browser dieses Zertifikat nicht unterstützt, die Site nicht erreichen konnten.
Hat Mozilla Millionen Downloads gekostet, wenn man Chris More Glauben schenken kann (siehe obiger Screenshot). Aber auch wenn keine Fehler passieren, wird es Nutzer treffen, die mit Windows XP SP2 oder Android 2.2 oder niedriger unterwegs sind. Deren Browser unterstützen kein SHA-2 und werden nicht mehr aktualisiert. Gerade in Schwellenländern oder Dritte-Welt-Staaten sind aber noch einige Leute mit diesen Lösungen unterwegs. Momentan ist das Ausknipsen der SHA-1-Unterstützung für Januar 2017 geplant. Mozilla will da aber vorverlegen, wenn erfolgreiche Angriffe bekannt werden. Also Zeit, auf aktuelle Betriebssysteme und Browser zu wechseln – schätze ich mal. Ein paar weitere Details finden sich hier.
2015
auf der einen Seiten schlussendlich eine tolle Sache, denn dann sind endlich die unsicheren XP-Kisten vom Markt.
für den o.g. Raum, sollte evtl. ein kostenloses Vista-Update o.ä. bereitgestellt werden.