Google Chrome soll SHA-1 vertreiben

Googles Chrome-Browser soll seine Nutzer künftig warnen, wenn sie auf HTTPS-Sites stoßen, die SHA-1-signierte Zertifikate einsetzen. Das Hash-Verfahren SHA-1 gilt bereits seit fast zehn Jahren als nicht mehr sicher, dennoch wird es noch vielerorts eingesetzt. Bei SSL-Zertifikaten ist das besonders kritisch, ein Angreifer könnte theoretisch falsche Serverzertifikate erstellen, die von den Browsern als gültig angesehen werden. Das erfordert aktuell zwar noch einen erheblichen Rechenaufwand, den bestenfalls Geheimdienste leisten können, allerdings dürfte sich dies in absehbarer Zeit ändern.

Und darum geht es auch Google: SHA-1-Zertifikate sollen nicht sofort, sondern im Laufe der nächsten zwei bis drei Jahre aus dem Netz verbannt werden. Um den Server-Betreibern einen Anreiz zum Wechsel auf ein moderneres Hash-Verfahren wie SHA-256 zu schaffen, soll Chrome künftig seine Nutzer auf SHA-1-Sites ein spezielles Symbol anzeigen, dass über das niedrigere Sicherheitsniveau informiert.

Kommt ein SHA-1-Zertifikat zum Einsatz, das noch nach dem 1. Januar 2017 gültig ist, verschärft Chrome die Maßnahmen und betrachtet die vom Server ausgelieferten Inhalte als Mixed Content. Bindet eine HTTPS-Site, die alles richtig macht, Inhalte von dem betroffenen Server ein, zeigt Chrome eine Warnung an – genau so, als würde die Site HTTP-Inhalte einbetten. Wann genau diese Änderungen zum Tragen kommen, ist noch nicht bekannt. (rei)