Google Chrome trennt sich von SSL-Zertifikaten mit SHA-1-Signierung

Montag, 21. Dez. 2015 22:04 - [ar] - Quelle: googleonlinesecurity.blogspot.de

Ab 2016 wird Google Chrome keine neu ausgestellten SHA-1-signierten SSL-Zertifikate von öffentlichen CAS mehr akzeptieren.

Die SHA-1-Signierung von SSL-Zertifikate gilt bereits seit über zehn Jahren als nicht mehr sicher. Trotzdem verwenden auch heute noch unzählige Anbieter die Signierung für angeblich sichere HTTPS-Verbindungen.

Google hat nun als erste Browser-Anbieter einen konkreten Termin für die Streichung der SHA-1-Unterstützung vorgelegt. Microsoft und Mozilla haben zwar bereits angekündigt ebenfalls SHA-1-Signierungen nicht mehr als sicher einzustufen, konkrete Pläne wann dieser Schritt umgesetzt werden soll, nannte bislang aber noch kein Browser-Anbieter.

Spätestens bis zum 1.1.2017 wird Google Chrome überhaupt keine SSL-Verbindung mit SHA-1-Signierung mehr unterstützen, bis zu diesem Zeitpunkt wird nur vor der unsicheren Methode gewarnt.

Cloudflare und Facebook warnen vor der einfachen Abschaffung von der SHA-1-Signierung für SSL-Verbindungen, weil viele Geräte in den Entwicklungsländern den neuen SHA-2-Standard noch nicht unterstützen. Je nach Client sollten die Server aber in der Lage sein zu ermitteln, ob ein SHA-1- oder SHA-2-Zertifikat verwendet werden kann. Facebook und Cloudflare nutzen bereits solch ein dynamisches System für den TLS-Handshake.

(Bild: Warnung vor einer SSL-Verbindung mit SHA-1-Signierung)