Google Chrome: Abschied von SHA-1-siginierten SSL-Zertifikaten

Seit zehn Jahren gilt das Hash-Verfahren SHA-1 als unsicher, trotzdem ist es immer noch bei vielen HTTPS-Sites im Einsatz. Die drei großen Browser-Hersteller Google, Microsoft und Mozilla haben allerdings schon vor einiger Zeit angekündigt, demnächst keine SHA-1-signierten SSL-Zertifikate mehr zu akzeptieren.

Google hat jetzt seinen konkreten Zeitplan für das Ende der SHA-1-Unterstützung veröffentlicht. Ab Anfang 2016 wird Google Chrome neue SSL-Zertfikate mit SHA-1-Signatur, die von einer öffentlichen CA ausgestellt wurden, nicht mehr akzeptieren und einen Zertifikatsfehler anzeigen. Spätestens ab dem 1.1.2017 wird Chrome dann gar keine SHA-1-signierten Zertifikate mehr akzeptieren.

Auch Mozilla verabschiedet sich langsam von SHA-1: Firefox soll ab Anfang nächsten Jahres ebenfalls vor SHA-1-signierten Zertifikaten warnen. Ebenso will sich Microsoft nächstes Jahr von SHA-1 trennen. Das CA/Browser Forum, in dem über die Zertifizierungsstandards der Zertifikats-Aussteller und Browser entschieden wird, will ab dem 1. Januar 2016 das Ausstellen neuer SHA-1-Zertifikate nur noch in Sonderfällen erlauben.

Facebook und das Content Delivery Network Cloudflare weisen allerdings darauf hin, dass in Entwicklungsländern noch viele Geräte verbreitet sind, die die Nachfolge-Algorithmen für SHA-1 nicht beherrschen. Facebook eine Funktion entwickelt, die dynamisch SHA-1-Zertifikate ausliefert, wenn der Client diese benötigt: Der Server entscheidet anhand der Informationen des Clients beim TLS-Handshake, ob er ein SHA-1- oder ein SHA-2-Zertifikat ausliefert. Facebook und Cloudflare haben diesen Code bereits im Einsatz. (odi)