{"id":1485,"date":"2014-08-21T15:20:58","date_gmt":"2014-08-21T13:20:58","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=1485"},"modified":"2022-01-25T16:13:44","modified_gmt":"2022-01-25T15:13:44","slug":"sha-1-dankt-ab-kuenftig-auch-bei-chrome","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/sha-1-dankt-ab-kuenftig-auch-bei-chrome\/","title":{"rendered":"SHA-1 dankt ab, k\u00fcnftig auch bei Chrome"},"content":{"rendered":"

Anfang Juni berichteten wir u. a. auf unserer Facebook-Fanpage<\/a> \u00fcber die Abl\u00f6sung von SHA-1 durch SHA-2. Dass diese Abl\u00f6sung nun Kreise zieht, zeigt auch Google: Ryan Sleevi, Entwickler bei dem Suchmaschinenriesen, berichtet von Googles Pl\u00e4nen<\/a>.<\/p>\n

<\/p>\n

Warnungen vor SHA-1-signierten Zertifikaten<\/h2>\n

Der Chrome-Browser soll k\u00fcnftig vor Zertifikaten warnen, die mittels SHA-1 signiert und bis 2016 g\u00fcltig sind. Wenngleich bereits seit 2004 bekannt<\/a> ist, dass Kollisionsangriffe beim Einsatz von SHA-1 grunds\u00e4tzlich m\u00f6glich sind, setzen noch immer extrem viele Zertifizierungsstellen auf den Hashalgorithmus. Finanzkr\u00e4ftige Angreifer, die sich die n\u00f6tige Hardware leisten k\u00f6nnen, sind in der Lage, Angriffe durchzuf\u00fchren.<\/p>\n

Sleevi bedenkt in seinem Beitrag die langsame Umstellung von MD5 und hofft, dass die Umstellung auf SHA-2 schneller erfolgt. Obwohl es bereits 2004 Angriffe auf MD5 gab, schaffte Google f\u00fcr seinen Browser Chrome MD5-Zertifikate erst im Dezember 2011 ab. Das Problem war \u00e4hnlich wie nun bei SHA-1: Zertifizierungsstellen sehen die theoretische M\u00f6glichkeit eines Angriffs bisher nicht als signifikantes Risiko.<\/p>\n

Nicht nur Google m\u00f6chte warnen<\/h2>\n

Neben Google sitzt auch Microsoft im Boot der SHA-1-Kritiker. Schon 2013 hat der Redmonder Softwarekonzern angek\u00fcndigt<\/a>, den SHA-1-Support im Jahre 2017 einzustellen; umgesetzt sind \u00c4nderungen bis heute kaum. Sleevi geht in seinem Text auf Microsoft ein und l\u00e4sst anklingen, dass bef\u00fcrchtet werden muss, Microsoft weicht von seinen Ansagen ab.<\/p>\n

Konkret: So wird sich Chrome verhalten<\/h2>\n

Laut Sleevi wird Googles Browser SHA-1-signierte Zertifikate mit einer G\u00fcltigkeit bis 2016 mit einem ver\u00e4nderten Verschl\u00fcsselungssymbol anzeigen. Eine Warnung, die zum Wegklicken animiert, \u00e4hnlich der Malware-Warnungen des Browsers, sei nicht in Planung. Sleevi zufolge sind 14 % aller verwendeten HTTPS-Zertifikate SHA-1-signiert und bis 2016 oder dar\u00fcber hinaus g\u00fcltig.<\/p>\n

Was k\u00f6nnen Sie tun?<\/h2>\n

Bestellen Sie sich ein SSL-Zertifikat, achten Sie auf die SHA-2-Signatur. Zahlreiche Security-Experten, auch wir, raten unbedingt zur Nutzung von SHA-2-signierten Zertifikaten \u2013 diese gelten als sicher, da sie \u00fcber l\u00e4ngere Hash-Werte verf\u00fcgen. Weitere Informationen zu den verschiedenen Standards und Entwicklungsstufen erhalten Sie in der Infografik auf unserer Website unten rechts<\/a>. Schon seit geraumer Zeit bestellen Sie bei uns Ihre Zertifikate mit SHA-2-Signatur und damit mit erh\u00f6hter Sicherheit sowie Zukunftsf\u00e4higkeit. Weitere Informationen zu unserem Zertifikatsangebot sehen Sie hier<\/a>. Bei Fragen zu SSL-Zertifikaten im Allgemeinen oder zu SHA-1\/-2 im Besonderen steht Ihnen gerne unser Support<\/a> zur Seite.<\/p>\n