Google Chrome stellt Unterstützung für SHA-1-Zertifikate ein

AuthentifizierungSicherheit
Google Chrome (Bild: Google)

Zunächst werden ab Januar keine neu ausgestellten SHA-1-Zertifikate mehr akzeptiert. Spätestens ab 1. Januar 2017 wird Chrome dann überhaupt keine SHA-1-Zertifikate mehr unterstützen.

Googles Chrome-Team hat in einem Blogbeitrag angekündigt, wie geplant die Unterstützung von SHA-1-Zertifikaten auslaufen zu lassen. Damit torpediert es Pläne von CloudFlare und Facebook, die erst kürzlich im Interesse von Anwendern mit rückständiger Technik für neue SHA-1-Zertifikate geworben hatten.

Mit dem Schritt will Google dafür sorgen, dass verschlüsselte Verbindungen mit SSL/TSL tatsächlich vertraulich sind. SHA-1 gilt seit 2006 als problembehaftet. Google hat unter dem Stichwort “The SHAppening” weitere Belege zusammengetragen, dass die Kosten für eine SHA-1-Collision, also die Nachahmung eines solchen Zertifikats mithilfe von Cloud-Ressourcen wie Amazon EC2, bereits im Herbst 2015 für kriminelle Organisationen erschwinglich sind. Große Firmen und Regierungen könnten ohnehin eigene Ressourcen nutzen. SHA-1 sei also ein Jahr vor dem Support-Ende eindeutig nicht mehr sicher.

Allerdings erfolgt die Ablehnung von SHA-1-Zertifikaten nicht abrupt. Zunächst wird Chrome 48 ab 2016 entsprechende Zertifikate nicht mehr akzeptieren, die am 1. Januar 2016 oder später ausgestellt wurden. Ausgenommen von dieser Maßnahme sind Zertifikate, die lokal als vertrauenswürdig eingestuft werden und sich nicht auf eine öffentliche Certificate Authority (CA) beziehen. Spätestens ab 1. Januar 2017 wird Chrome dann überhaupt keine SHA-1-Zertifikate mehr unterstützen.

Der Termin ist mit Microsofts Edge-Team und den Firefox-Entwicklern bei Mozílla abgestimmt, wie Google betont. Man erwäge allerdings, den Termin auf den 1. Juli 2016 nach vorne zu verschieben. Dieser zweite Schritt soll dann auch Zertifikate betreffen, die nicht von einer öffentlichen Certificate Authority stammen.

 

Zugleich wird mit Chrome 48 im Januar auch – ebenfalls wie geplant – Unterstützung für RC4-Verschlüsselungsalgorithmen auslaufen. Website-Betreibern empfiehlt Google darüber hinaus, TLS 1.2 zu unterstützen und die Verschlüsselungssuite ECDHE_RSA_WITH_AES_128_GCM zu priorisieren.

CloudFlare und Facebook hatten vor einer Woche ein Verfahren für Server vorgeschlagen, um im Notfall auf SHA1-basierte Zertifikate zurückzufallen, wenn der Browser eines Anwenders nicht mehr zu bieten hat. Ansonsten könne man mit 7 Prozent aller weltweit eingesetzten Browser nicht mehr verschlüsselt mit Webservern kommunizieren, wovon insbesondere ältere Feature Phones betroffen sind. CloudFlare rechnet dies auf 37 Millionen Anwender hoch.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen bei ITespresso.