Google unsicher? SHA-1-Kollateralschäden im Google Chrome

Aktuell warnt der Google Chrome Browser (und Derivate) vor Google-Seiten und weist diese als unsicher aus. Hier ein paar Punkte, die ich mir so zusammen reime.


Anzeige

Google will das Web auf https zwingen

Zur Nacht noch ein Zuckerl, welches ich hier einstelle. Google möchte ja das Web sicherer machen, koste es, was es wolle. Im September 2016 hatte ich im Beitrag Google Chrome zeigt http-Seiten ‘demnächst’ als unsicher an berichtet, dass Google das Web auf https-Verschlüsselung zwingen will – auch wenn eine Webseite öffentlich einsehbar ist und keine zu verschlüsselnden Informationen (z.B. Anmeldedaten) übertragen werden. Über den Sinn kann man trefflich streiten. Nun lese ich bei heise.de, dass auch der Firefox-Browser das künftig so handhaben möchte.

Und SHA-1 ist demächst bäh

Das ist die eine Seite der Geschichte. Kommen wir zur weiten Seite: In den Browsern will man https-Übertragungen, die auf dem veralteten SHA-1 basieren, demnächst blockieren bzw. nicht mehr unterstützen. Microsoft hat dies für Edge und IE 11 vor, wie man hier nachlesen kann. Und MSPowerUser.com sowie heise.de weisen darauf hin, dass die SHA-1-Zertifikate demnächst auslaufen und Server-Administratoren sich um das Thema kümmern müssen. Soll ab Januar 2017 so richtig losgehen ….

Logische Folge: Auch Google ist nun bäh – ähm ‘unsicher’

Aber der Google Chrome-Browser und Derivate wie der Slimjet-Browser (siehe Angetestet: Der Slimjet-Browser, ein Chrome-Clone) machen jetzt bereits Ernst und markieren https-Verbindungen, die per SHA-1 abgesichert sind, als “kaputt” bzw. ungeschützt. Und weil Google so ‘mustergültig’ ist, zeigt man den Nutzern schon mal, was ihm ab Januar 2017 blüht, wenn die Administratoren pennen.

Jedenfalls werden mir seit einigen Stunden im Google Chrome und im Slimjet-Browser die Google eigenen Seite, die mustergültig mit https-verschlüsselten Verbindungen zu erreichen sind, als unsicher aufgelistet. Klicke ich auf die Warnung, erfahre ich, dass Google intern noch SHA-1 verwendet.

Frage: Hat jemand bei Google gepennt, oder ist bei mir was kaputt? Der IE 11 zeigt keine Warnung an und der Firefox ist auch noch nicht so weit. Da sowohl Google Chrome als auch der Slimjet als portable Versionen laufen, denke ich, dass bei Google die Umstellung von SHA-1 auf andere https-Zertifikate noch nicht erfolgt ist.

Nachtrag: Heute, am 29.11.2016, hat sich das Problem in Wohlgefallen aufgelöst. Die Verbindung wird nicht mehr bemängelt und es wird ein SHA256-Zertifikat angezeigt. Die Vermutung von Ingo trifft wohl zu – irgendwelche Google-Server hatten die SHA-1-Fallback-Option noch aktiviert.


Anzeige
Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Responses to Google unsicher? SHA-1-Kollateralschäden im Google Chrome

  1. Ingo sagt:

    Wenn ich https://plus.google.com/ aufrufe, bekomme ich ein SHA256 Zertifikat geliefert, ausgestellt am 10.11.2016.

    Entweder ist bei Google also einfach noch nicht auf allen Systemen das richtige Zertifikat angekommen oder bei dir ist irgendwas verkehrt.

  2. Ich finde das mittlerweile ziemlich Affig, selbst Blogs wo man sich nicht mal anmelden muss um was zu lesen werden mittlerweile als unsicher eingestuft.

    Vielleicht hätten Google und Firefox vorher mal ne Umfrage starten sollen ob das die User überhaupt wollen, denn es verunsichert nur die meisten Leute wenn eine unsichere Seite angesteuert wird.

    Eigentlich ist ja nur eine Mahnung an den Webseiten Administrator ein sicheres Zertifikat für seine Webseite auszustellen, und soll ahnungslose nicht abschrecken.

    • Ralph sagt:

      Wäre man böse, würde man sowohl Google, als auch der eigentlich nicht gewinnorientierten Mozilla Foundation unterstellen, am Geschäft mit SSL-Zertifikaten schwer beteiligt zu sein. Denn dort stagniert offensichtlich das Geschäft, weil gerade privat betriebene Webseiten eben auch privat finanziert sind und in den meisten Fällen aus Kostengründen und aufgrund fehlender Notwendigkeiten auf SSL eben verzichtet wird. Da gibt es also Millarden von Kühen, die man melken könnte, wenn man nur dafür sorgen könnte, dass denen irgendwie ohne SSL die Besucherzahlen wegbrechen…. (man möge den Faden einfach zu einem brauchbaren Aluhut weiterspinnen)

  3. Werbung

  4. Holger K. sagt:

    Das Problem ist der SHA1 Fallback, der bei plus.google.com und sicherlich auch bei vielen anderen immer noch angeboten wird neben dem Standard SHA256. Über eine Man-in-the-Middle-Attacke kann man immer noch den Fallback erzwingen, das ist das eigentliche Problem.
    Es geht also nicht darum, dass man SHA1 ausrotten will als Standardverschlüsselung, sondern dass man von dem Fallbackalgorithmus SHA1 wegkommt. Alte Zöpfe abschneiden ist manchmal sehr schwer.

    Siehe auch https://www.ssl.com/blogs/facebook-cloudflare-and-sha-1-fallback/

    Dort werden die Gründe genannt, weshalb das ein Problem ist.

  5. Nachdem das Fallback auf SHA1 bei https://plus.google.com über eine Woche beseitigt war – wird mir heute (4.12.2016) wieder die Warnung im Google Chrome, im Slimjet-Browser, nicht jedoch im Firefox-Browser angezeigt.

    Google-Zertifikat

    Es ist wohl dieses Zertifikat, welches die Probleme verursacht. Bisher habe ich noch nicht herausgefunden, wie ich das SHA-1-Fallback unterbinden kann. Ob es mit dem Update auf die neue Chrome Version 55 zu tun hat? Mal sehen, wie das morgen ausschaut.

  6. Nachtrag: Es gibt nun einen neuen Artikel Chrome-Bug zeigt https als unsicher an, der einen Bug in Chrome thematisiert. Dieser könnte das Problem auslösen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.