Künftig soll Googles Chrome-Browser seine Nutzer, wenn sie auf HTTPS-Seiten stoßen, die SHA-1-signierte Zertifikate einsetzen, warnen. Seit fast zehn Jahren gilt das Hash-Verfahren SHA-1 als nicht mehr sicher, dennoch wird es noch vielerorts eingesetzt. Bei SSL-Zertifikaten ist dies besonders kritisch, da ein Angreifer theoretisch falsche Serverzertifikate erstellen könnte, die von den Browsern als gültig angesehen werden. Zwar erfordert das aktuell noch einen erheblichen Rechenaufwand, allerdings dürfte sich dies in absehbarer Zeit ändern.

Daher möchte Google SHA-1-Zertifikate im Laufe der nächsten zwei bis drei Jahre aus dem Netz verbannen. Chrome soll künftig seine Nutzer auf SHA-1-Seiten ein spezielles Symbol anzeigen, dass über das niedrigere Sicherheitsniveau informiert, um den Server-Betreibern einen Anreiz zum Wechsel auf ein moderneres Hash-Verfahren wie SHA-256 zu schaffen.

Chrome verschärft die Maßnahmen und betrachtet die vom Server ausgelieferten Inhalte als Mixed Content, wenn ein SHA-1-Zertifikat, das noch nach dem 1. Januar 2017 gültig ist, zum Einsatz kommt. Sobald eine HTTPS-Seite, die alles richtig macht, Inhalte von dem betroffenen Server einbindet, zeigt Chrome eine Warnung an – genau so, als würde die Seite HTTP-Inhalte einbetten. Noch ist nicht bekannt, wann genau diese Änderungen erscheinen.

(ts, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE