SHA-1 dankt ab, künftig auch bei Chrome

Anfang Juni berichteten wir u. a. auf unserer Facebook-Fanpage über die Ablösung von SHA-1 durch SHA-2. Dass diese Ablösung nun Kreise zieht, zeigt auch Google: Ryan Sleevi, Entwickler bei dem Suchmaschinenriesen, berichtet von Googles Plänen.

Warnungen vor SHA-1-signierten Zertifikaten

Der Chrome-Browser soll künftig vor Zertifikaten warnen, die mittels SHA-1 signiert und bis 2016 gültig sind. Wenngleich bereits seit 2004 bekannt ist, dass Kollisionsangriffe beim Einsatz von SHA-1 grundsätzlich möglich sind, setzen noch immer extrem viele Zertifizierungsstellen auf den Hashalgorithmus. Finanzkräftige Angreifer, die sich die nötige Hardware leisten können, sind in der Lage, Angriffe durchzuführen.

Sleevi bedenkt in seinem Beitrag die langsame Umstellung von MD5 und hofft, dass die Umstellung auf SHA-2 schneller erfolgt. Obwohl es bereits 2004 Angriffe auf MD5 gab, schaffte Google für seinen Browser Chrome MD5-Zertifikate erst im Dezember 2011 ab. Das Problem war ähnlich wie nun bei SHA-1: Zertifizierungsstellen sehen die theoretische Möglichkeit eines Angriffs bisher nicht als signifikantes Risiko.

Nicht nur Google möchte warnen

Neben Google sitzt auch Microsoft im Boot der SHA-1-Kritiker. Schon 2013 hat der Redmonder Softwarekonzern angekündigt, den SHA-1-Support im Jahre 2017 einzustellen; umgesetzt sind Änderungen bis heute kaum. Sleevi geht in seinem Text auf Microsoft ein und lässt anklingen, dass befürchtet werden muss, Microsoft weicht von seinen Ansagen ab.

Konkret: So wird sich Chrome verhalten

Laut Sleevi wird Googles Browser SHA-1-signierte Zertifikate mit einer Gültigkeit bis 2016 mit einem veränderten Verschlüsselungssymbol anzeigen. Eine Warnung, die zum Wegklicken animiert, ähnlich der Malware-Warnungen des Browsers, sei nicht in Planung. Sleevi zufolge sind 14 % aller verwendeten HTTPS-Zertifikate SHA-1-signiert und bis 2016 oder darüber hinaus gültig.

Was können Sie tun?

Bestellen Sie sich ein SSL-Zertifikat, achten Sie auf die SHA-2-Signatur. Zahlreiche Security-Experten, auch wir, raten unbedingt zur Nutzung von SHA-2-signierten Zertifikaten – diese gelten als sicher, da sie über längere Hash-Werte verfügen. Weitere Informationen zu den verschiedenen Standards und Entwicklungsstufen erhalten Sie in der Infografik auf unserer Website unten rechts. Schon seit geraumer Zeit bestellen Sie bei uns Ihre Zertifikate mit SHA-2-Signatur und damit mit erhöhter Sicherheit sowie Zukunftsfähigkeit. Weitere Informationen zu unserem Zertifikatsangebot sehen Sie hier. Bei Fragen zu SSL-Zertifikaten im Allgemeinen oder zu SHA-1/-2 im Besonderen steht Ihnen gerne unser Support zur Seite.