Auch Mozilla verabschiedet sich langsam von SHA-1
Die Entwickler der freien Web-Browsers Firefox wollen den angreifbaren Hash-Algorithmus in Zukunft nicht mehr fĂĽr verschlĂĽsselte Verbindungen akzeptieren. Server-Betreibern bleibt jedoch noch Zeit fĂĽr die Umstellung.
- Christian Kirsch
Nach Microsoft und Google kündigt nun mit Mozilla der dritte große Web-Browser-Anbieter an, SHA-1 langsam aufs Altenteil zu schicken. Alle drei raten davon ab, nach dem 1. Januar 2016 noch SHA-1-signierte Zertifikate auszustellen und wollen ihnen ein Jahr später nicht mehr vertrauen. Firefox werde ab Anfang 2015 auf der Web-Konsole vor Zertifikaten warnen, die SHA-1 verwenden. Benutzer sollen ab 2016 auf eine potenziell unsichere SSL/TLS-Verbindung hingewiesen werden, wenn die betreffende Website ein SHA-1-signiertes Zertifikat verwendet.
SHA-1 ist einer der ältesten Algorithmen zum Erzeugen von Hash-Werten. Bereits 2005 zeigten chinesische Wissenschaftler, dass er mit wesentlich weniger Aufwand angreifbar ist als bis dahin vermutet. Trotzdem diente SHA-1 noch einige Jahre danach zum Signieren von Zertifikaten, die Webserver zum Nachweis ihrer Identität verwenden. Die bekannte Schwäche des Algorithmus lässt sich zumindest im Prinzip ausnutzen, um gefälschte Zertifikate zu erstellen und so Anwender zum Datenaustausch mit einer vermeintlich vertrauenswürdigen Website zu veranlassen. Sichere Nachfolger für SHA-1 stehen seit längerem zur Verfügung. (ck)