Googles Chrome-Team hat entschieden, wie geplant die Unterstützung von Zertifikaten auslaufen zu lassen, die mit dem Hash-Algorithmus SHA-1 erstellt wurden. Das schreiben die Chrome-Mitarbeiter Lucas Garron und David Benjamin in einem Blogbeitrag. CloudFlare und Facebook hatten kürzlich im Interesse von Anwendern mit rückständiger Technik für neue SHA-1-Zertifikate geworben.
Der Termin ist mit Microsofts Edge-Team und den Firefox-Entwicklern bei Mozílla abgestimmt, wie Google betont. Man erwäge allerdings, den Termin auf den 1. Juli 2016 nach vorne zu verschieben. Dieser zweite Schritt soll dann auch Zertifikate betreffen, die nicht von einer öffentlichen Certificate Authority stammen.
Mit dem Schritt will Google Sorge tragen, dass verschlüsselte Verbindungen mit SSL/TSL tatsächlich vertraulich sind. SHA-1 gilt seit 2006 als problembehaftet. Google hat unter dem Stichwort „The SHAppening“ weitere Belege zusammengetragen, dass die Kosten für eine SHA-1-Collision, also die Nachahmung eines solchen Zertifikats mithilfe von Cloud-Ressourcen wie Amazon EC2, bereits im Herbst 2015 für kriminelle Organisationen erschwinglich sind. Große Firmen und Regierungen könnten ohnehin eigene Ressourcen nutzen. SHA-1 sei also ein Jahr vor dem Support-Ende eindeutig nicht mehr sicher.
Zugleich wird mit Chrome 48 im Januar auch – ebenfalls wie geplant – Unterstützung für RC4-Verschlüsselungsalgorithmen auslaufen. Website-Betreibern empfiehlt Google darüber hinaus, TLS 1.2 zu unterstützen und die Verschlüsselungssuite ECDHE_RSA_WITH_AES_128_GCM zu priorisieren.
CloudFlare und Facebook hatten vor einer Woche ein Verfahren für Server vorgeschlagen, um im Notfall auf SHA1-basierte Zertifikate zurückzufallen, wenn der Browser eines Anwenders nicht mehr zu bieten hat. Ansonsten könne man mit 7 Prozent aller weltweit eingesetzten Browser nicht mehr verschlüsselt mit Webservern kommunizieren, wovon insbesondere ältere Feature Phones betroffen sind. CloudFlare rechnet dies auf 37 Millionen Anwender hoch.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…