Abschied von SHA-1 in 2016 heißt reagieren …

Noch zwei kurze Infosplitter im Hinblick auf den Jahreswechsel 2015/2016: Google beendet 2016 teilweise die Unterstützung für SHA-1. Und wer selbst Zertifikate für Server,  Software etc. verwendet, sollte diese bis zum 31. Dezember 2015 erneuern.


Anzeige

SHA-1 ist ja ein Hash-Algorithmus, der seit Jahren als unsicher bzw. knackbar gilt, aber immer noch bei SSL-Verbindungen auf Webseiten in Verwendung ist. Jetzt gibt es den Ansatz, die SHA-1-Unterstützung zu beenden – wodurch die Gefahr besteht, dass Browser plötzlich keine SSL-Verbindungen mehr können (siehe mein Beitrag Knipst der Wechsel zu SHA-2 “das Web” aus?). Aber auch Zertifikate für Software, die auf SHA-1 basieren, sollten angeschaut werden.

Google beendet SHA-1-Support im Google Chrome

Der Internetkonzern Google macht nun Ernst: Anfang 2016 wird Google Chrome keine “neu ausgestellten” SHA-1-signierten Zertifikate von öffentlichen Certificate Authoritys (CAs) mehr akzeptieren. Darauf weist u.a. heise.de in diesem Artikel hin. Auch Mozilla und Microsoft haben die Unterstützung von SHA-1 abgekündigt.

Das Supportende für neu ausgestellte SHA-1-signierten Zertifikate kommt mit dem Chrome Browser Version 48 und ist in diesem Blog-Post beschrieben (ab 1. Januar 2016 wird es also kritisch). Ab dem 1. Januar 2017 wird Chrome dann generell keine SHA-1-signierten Zertifikate mehr akzeptieren.

SHA-1 basierende Zertifikate zum Jahreswechsel erneuern

In diesem Kontext macht auch dieser Blog-Beitrag Sinn. Bereits ausgestellte und in Gebrauch befindliche, alte Zertifikate, die noch auf SHA-1 basieren, werden zwar nicht am 31.12.2015 ungültig. Aber neue, auf SHA-1 basierende Zertifikate werden ab dem 1. Januar 2016 nicht mehr vom Internet Explorer oder von Windows akzeptiert – und Zertifizierungsstellen dürfen solche Zertifikate auch nicht mehr ausgeben. Details finden sich im verlinkten Artikel.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Abschied von SHA-1 in 2016 heißt reagieren …


  1. Anzeige
  2. Pingback: Anonymous

  3. Daniel sagt:

    Günter
    die Formulierung, dass das Erneuern des SHA-1 Zertifikat bis Ende dieses Jahr verhindert, dass Chrome et.al. das Zertikat als unglaubwürdig behandelt stimmt nur teilweise.
    Die Aussage stimmt für Zertifikate die für SSL/TSL (aka https) benutzt werden, aber nicht für Zertifikate die für Code Signing benutzt werden.
    Bei Code Signing ist der Zeitpunkt der Signierung der App relevant. Wenn ein Code – z.b. Click Once App – nach dem 1. Januar 2016 signiert wird, so wird dieses ebenfalls als untrusted behandelt. Nur wenn die Applikation vor 1.Jan 2016 signiert wurde, behandelt Chrome et.al. den Publisher als Trusted.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.