{"id":184316,"date":"2016-11-28T20:03:02","date_gmt":"2016-11-28T19:03:02","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=184316"},"modified":"2021-01-16T04:28:29","modified_gmt":"2021-01-16T03:28:29","slug":"google-unsicher-sha-1-kollateralschden-im-google-chrome","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/11\/28\/google-unsicher-sha-1-kollateralschden-im-google-chrome\/","title":{"rendered":"Google unsicher? SHA-1-Kollateralschäden im Google Chrome"},"content":{"rendered":"

Aktuell warnt der Google Chrome Browser (und Derivate) vor Google-Seiten und weist diese als unsicher aus. Hier ein paar Punkte, die ich mir so zusammen reime.<\/p>\n

<\/p>\n

Google will das Web auf https zwingen<\/h3>\n

\"\"Zur Nacht noch ein Zuckerl, welches ich hier einstelle. Google m\u00f6chte ja das Web sicherer machen, koste es, was es wolle. Im September 2016 hatte ich im Beitrag Google Chrome zeigt http-Seiten 'demn\u00e4chst' als unsicher an<\/a> berichtet, dass Google das Web auf https<\/em>-Verschl\u00fcsselung zwingen will \u2013 auch wenn eine Webseite \u00f6ffentlich einsehbar ist und keine zu verschl\u00fcsselnden Informationen (z.B. Anmeldedaten) \u00fcbertragen werden. \u00dcber den Sinn kann man trefflich streiten. Nun lese ich bei heise.de<\/a>, dass auch der Firefox-Browser das k\u00fcnftig so handhaben m\u00f6chte.<\/p>\n

Und SHA-1 ist dem\u00e4chst b\u00e4h<\/h3>\n

Das ist die eine Seite der Geschichte. Kommen wir zur weiten Seite: In den Browsern will man https<\/em>-\u00dcbertragungen, die auf dem veralteten SHA-1 basieren, demn\u00e4chst blockieren bzw. nicht mehr unterst\u00fctzen. Microsoft hat dies f\u00fcr Edge und IE 11 vor, wie man hier<\/a> nachlesen kann. Und MSPowerUser.com<\/a> sowie heise.de<\/a> weisen darauf hin, dass die SHA-1-Zertifikate demn\u00e4chst auslaufen und Server-Administratoren sich um das Thema k\u00fcmmern m\u00fcssen. Soll ab Januar 2017 so richtig losgehen \u2026.<\/p>\n

Logische Folge: Auch Google ist nun b\u00e4h \u2013 \u00e4hm 'unsicher'<\/h3>\n

Aber der Google Chrome-Browser und Derivate wie der Slimjet-Browser (siehe Angetestet: Der Slimjet-Browser, ein Chrome-Clone<\/a>) machen jetzt bereits Ernst und markieren https<\/em>-Verbindungen, die per SHA-1 abgesichert sind, als \"kaputt\" bzw. ungesch\u00fctzt. Und weil Google so 'musterg\u00fcltig' ist, zeigt man den Nutzern schon mal, was ihm ab Januar 2017 bl\u00fcht, wenn die Administratoren pennen.<\/p>\n

<\/p>\n

Jedenfalls werden mir seit einigen Stunden im Google Chrome und im Slimjet-Browser die Google eigenen Seite, die musterg\u00fcltig mit https<\/em>-verschl\u00fcsselten Verbindungen zu erreichen sind, als unsicher aufgelistet. Klicke ich auf die Warnung, erfahre ich, dass Google intern noch SHA-1 verwendet.<\/p>\n

Frage: Hat jemand bei Google gepennt, oder ist bei mir was kaputt? Der IE 11 zeigt keine Warnung an und der Firefox ist auch noch nicht so weit. Da sowohl Google Chrome als auch der Slimjet als portable Versionen laufen, denke ich, dass bei Google die Umstellung von SHA-1 auf andere https-Zertifikate noch nicht erfolgt ist.<\/p>\n

Nachtrag:<\/strong> Heute, am 29.11.2016, hat sich das Problem in Wohlgefallen aufgel\u00f6st. Die Verbindung wird nicht mehr bem\u00e4ngelt und es wird ein SHA256-Zertifikat angezeigt. Die Vermutung von Ingo trifft wohl zu – irgendwelche Google-Server hatten die SHA-1-Fallback-Option noch aktiviert.<\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell warnt der Google Chrome Browser (und Derivate) vor Google-Seiten und weist diese als unsicher aus. Hier ein paar Punkte, die ich mir so zusammen reime.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[984,4689,4328],"class_list":["post-184316","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-google-chrome","tag-sha-1","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=184316"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184316\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=184316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=184316"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=184316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}