Noch zwei kurze Infosplitter im Hinblick auf den Jahreswechsel 2015/2016: Google beendet 2016 teilweise die Unterstützung für SHA-1. Und wer selbst Zertifikate für Server, Software etc. verwendet, sollte diese bis zum 31. Dezember 2015 erneuern.
Anzeige
SHA-1 ist ja ein Hash-Algorithmus, der seit Jahren als unsicher bzw. knackbar gilt, aber immer noch bei SSL-Verbindungen auf Webseiten in Verwendung ist. Jetzt gibt es den Ansatz, die SHA-1-Unterstützung zu beenden – wodurch die Gefahr besteht, dass Browser plötzlich keine SSL-Verbindungen mehr können (siehe mein Beitrag Knipst der Wechsel zu SHA-2 "das Web" aus?). Aber auch Zertifikate für Software, die auf SHA-1 basieren, sollten angeschaut werden.
Google beendet SHA-1-Support im Google Chrome
Der Internetkonzern Google macht nun Ernst: Anfang 2016 wird Google Chrome keine "neu ausgestellten" SHA-1-signierten Zertifikate von öffentlichen Certificate Authoritys (CAs) mehr akzeptieren. Darauf weist u.a. heise.de in diesem Artikel hin. Auch Mozilla und Microsoft haben die Unterstützung von SHA-1 abgekündigt.
Das Supportende für neu ausgestellte SHA-1-signierten Zertifikate kommt mit dem Chrome Browser Version 48 und ist in diesem Blog-Post beschrieben (ab 1. Januar 2016 wird es also kritisch). Ab dem 1. Januar 2017 wird Chrome dann generell keine SHA-1-signierten Zertifikate mehr akzeptieren.
SHA-1 basierende Zertifikate zum Jahreswechsel erneuern
In diesem Kontext macht auch dieser Blog-Beitrag Sinn. Bereits ausgestellte und in Gebrauch befindliche, alte Zertifikate, die noch auf SHA-1 basieren, werden zwar nicht am 31.12.2015 ungültig. Aber neue, auf SHA-1 basierende Zertifikate werden ab dem 1. Januar 2016 nicht mehr vom Internet Explorer oder von Windows akzeptiert – und Zertifizierungsstellen dürfen solche Zertifikate auch nicht mehr ausgeben. Details finden sich im verlinkten Artikel.
Anzeige
Anzeige
Günter
die Formulierung, dass das Erneuern des SHA-1 Zertifikat bis Ende dieses Jahr verhindert, dass Chrome et.al. das Zertikat als unglaubwürdig behandelt stimmt nur teilweise.
Die Aussage stimmt für Zertifikate die für SSL/TSL (aka https) benutzt werden, aber nicht für Zertifikate die für Code Signing benutzt werden.
Bei Code Signing ist der Zeitpunkt der Signierung der App relevant. Wenn ein Code – z.b. Click Once App – nach dem 1. Januar 2016 signiert wird, so wird dieses ebenfalls als untrusted behandelt. Nur wenn die Applikation vor 1.Jan 2016 signiert wurde, behandelt Chrome et.al. den Publisher als Trusted.