zurück zum Artikel

Firefox: Mozilla schaltet SHA-1 ab … und direkt wieder an

Fabian A. Scherschel
Firefox: Mozilla schaltet SHA-1 ab ...und direkt wieder an

Einige Sicherheits-Appliances, die Man-in-the-Middle-Analysen durchführen, kommen nicht damit klar, dass Firefox ab dem 1. Januar SHA-1-Zertifikate ablehnt. Darum hat Mozilla SHA-1 fürs erste wieder für akzeptabel erklärt.

Am 1. Januar hat Firefox planmäßig damit angefangen, die als unsicher geltenden SHA-1-Zertifikate [1] zurückzuweisen. Da dies bei einigen Nutzern zu Problemen geführt hat, macht Mozilla diesen Schritt nun mit einem neuen Firefox-Update wieder rückgängig. Die Entwickler wollen SHA-1 nach wie vor ausmustern, allerdings wurde ein erneuter Versuch erst einmal auf unbestimmte Zeit vertagt [2].

Auslöser für den Rückzieher sind laut Mozilla Sicherheits-Produkte, die Man-in-the-Middle-Entschlüsselung durchführen. Darunter Web-Filter und Anti-Viren-Software, die verschlüsselten SSL-Traffic aufmachen muss, um den Inhalt zu untersuchen. Viele Produkte kommen offensichtlich nicht damit klar, dass der Browser die von ihnen verteilten SHA-1-Zertifikate nicht akzeptiert. Darunter sind auch die Web-Interfaces einiger Home-Router. Laut Mozilla arbeiten viele der Hersteller daran, das Problem in ihren Geräten zu lösen. Bis diese Probleme für viele Nutzer behoben sind wolle man deswegen weiterhin SHA-1 erlauben.

Wer nicht mehr surfen kann, braucht das Firefox-Update

Nutzer, die mit Firefox seit dem 1. Januar nicht mehr surfen können, sollten die neueste Firefox-Version installieren. Das klappt allerdings nicht aus dem betroffenen Netz, da auch Firefox-Updates über SSL verteilt werden. Als Workaround kann man auch den Wert security.pki.sha1_enforcement_level im about:config-Dialog des Browsers auf 0 setzen.

Bereits im Dezember hatten Facebook und Cloudflare zu bedenken gegeben, dass ein generelles SHA-1-Verbot [3] Probleme für manche Nutzer bereiten könnte. Denn auch in Entwicklungsländern gibt es noch viele Geräte, die ohne SHA-1 nicht klar kommen. Microsoft will SHA-1 [4] zum 1. Januar 2017 in Rente schicken. (fab [5])

URL dieses Artikels:
https://www.heise.de/-3066832

Links in diesem Artikel:
[1] https://www.heise.de/news/Auch-Mozilla-verabschiedet-sich-langsam-von-SHA-1-2402036.html
[2] https://blog.mozilla.org/security/2016/01/06/man-in-the-middle-interfering-with-increased-security/
[3] https://www.heise.de/news/Totgesagte-leben-laenger-Facebook-und-Cloudflare-setzen-weiter-auf-SHA-1-3041665.html
[4] https://www.heise.de/news/SSL-Zertifikate-Microsoft-will-sich-schon-naechstes-Jahr-von-SHA-1-trennen-2880134.html
[5] mailto:contact@fab.industries

Copyright © 2016 Heise Medien