Das Hash-Verfahren SHA-1 gilt seit zehn Jahren als unsicher, wird allerdings immer noch bei vielen HTTPS-Sites eingesetzt. Vor einiger Zeit haben bereits die drei großen Browser-Hersteller Google, Mozilla und Microsoft angekündigt, dass sie demnächst keine SHA-1-signierten SSL-Zertifikate mehr akzeptieren.

Für das Ende der SHA-1-Unterstützung hat Google nun seinen konkreten Zeitplan veröffentlicht. Google Chrome wird ab Anfang 2016 neue SSL-Zertfikate mit SHA-1-Signatur, die von einer öffentlichen CA ausgestellt wurden, nicht mehr akzeptieren und stattdessen einen Zertifikatsfehler anzeigen. Chrome wird spätestens ab dem 1.1.2017 gar keine SHA-1-signierten Zertifikate mehr akzeptieren.

Ab Anfang nächsten Jahres soll Firefox auch vor SHA-1-signierten Zertifikaten warnen. Microsoft will sich nächstes Jahr ebenso von SHA-1 trennen. Ab dem 1. Januar 2016 will das CA/Browser Forum, in dem über die Zertifizierungsstandards der Zertifikats-Aussteller und Browser entschieden wird, das Ausstellen neuer SHA-1-Zertifikate nur noch in Sonderfällen erlauben.

Allerdings sind in Entwicklungsländern noch viele Geräte verbreitet, die die Nachfolge-Algorithmen für SHA-1 nicht beherrschen, wie Facebook und das Content Delivery Network Cloudflare darauf hinweisen. Dafür hat Facebook eine Funktion entwickelt, die dynamisch SHA-1-Zertifikate ausliefert, sobald der Client es benötigt. Beim TLS-Handshake entscheidet der Server anhand der Informationen des Clients, ob er ein SHA-1- oder ein SHA-2-Zertifikat ausliefert. Facebook und Cloudflare wenden diesen Code bereits an.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE