c't 25/2016
S. 30
News
SHA-1-Zertifikate

Admins aufgepasst – SHA-1 vor dem Aus

Browser-Hersteller ächten veraltetes Hash-Verfahren

Ab Januar geht es SHA-1 an den Kragen. Genauer: Microsoft, Google und Mozilla werden ihre Browser so umstellen, dass sie auf HTTPS-Seiten, die SHA-1 für Signaturen verwenden, Fehlermeldungen anzeigen. Das betrifft allein in Deutschland rund 30.000 Webseiten, darunter solche des Bundes und der Polizei.

Von Jürgen Schmidt

Hash-Verfahren kommen bei HTTPS unter anderem zum Einsatz, um die Identität eines Kommunikationspartners zu beglaubigen beziehungsweise zu prüfen. So erzeugt die unterschreibende Zertifizierungsstelle einen eindeutigen Hash-Wert über die Daten des Zertifikats, die insbesondere den Namen des Inhabers (Subject) und dessen öffentlichen Schlüssel enthalten (SubjectPublicKeyInfo). Diesen Hash-Wert signiert sie mit ihrem geheimen RSA-Schlüssel. Der Browser überprüft die Identität der aufgerufenen Webseite, indem er selbst den Hash-Wert über Namen und Schlüssel bildet und ihn mit dem beglaubigten Hash vergleicht.

Gefährliche Kollisionen

Alle heise-Magazine mit heise+ lesen

3,99 € / Woche

Ein Abo, alle Magazine: c't, iX, Mac & i, Make & c't Fotografie

  • Alle heise-Magazine im Browser und als PDF
  • Alle exklusiven heise+ Artikel frei zugänglich
  • heise online mit weniger Werbung lesen
  • Vorteilspreis für Magazin-Abonnenten
Jetzt unbegrenzt weiterlesen Vierwöchentliche Abrechnung.

Alle Ausgaben freischalten

2,95 € 0,25 € / Woche

Nach Testphase 2,95 € wtl.

  • Zugriff auf alle c't-Magazine
  • PDF-Ausgaben zum Herunterladen
  • Zugriff in der c't-App für unterwegs
Jetzt testen Nach Testphase jederzeit monatlich kündbar.

Ausgabe einmalig freischalten

4,70 € / Ausgabe

Diese Ausgabe lesen – ohne Abobindung

  • Sicher einkaufen im heise shop
  • Magazin direkt im Browser lesen
  • Dauerhaft als PDF behalten

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen