Firefox unterstützt SHA-1-Zertifikate vorerst wieder

AuthentifizierungSicherheit
Firefox (Bild: Mozilla)

Laut einem Blogbeitrag konnten einige Anwender durch das Sperren von SHA-1-Zertifikaten nicht mehr auf das Internet zugreifen. Dafür verantwortlich sind Sicherheitslösungen, die sich wie ein Man-in-the-Middle-Angreifer verhalten, indem sie sich zwischen Browser und angesteuertem Server drängen.

Mozilla hat angekündigt, dass Firefox bis auf Weiteres wieder SHA-1-Zertifikate für die SSL- respektive TLS-Verschlüsselung von HTTP-Verbindungen anerkennen wird. Obwohl die Mehrzahl der Nutzer offenbar gar nichts vom Ende der Unterstützung für SHA-1-Zertifikate mitbekommen habe, hätten wiederum andere mit Firefox keinen Zugang mehr zum Internet gehabt, wie Richard Barnes, Sicherheitsingenieur bei Firefox, in einem Blogbeitrag schreibt.

Mozilla will bei Firefox die wenig genutzten Funktionen "Tab Gruppen " und "Vollständige Themes" streichen (Grafik: Mozilla)

Der Hashing-Algorithmus SHA-1 gilt seit 2006 als unsicher. Laut Google können Kriminelle ein solches Zertifikat heutzutage mit erschwinglichen Cloud-Ressourcen imitieren. Damit wären sie dann in der Lage, einen Man-in-the-Middle-Angriff durchzuführen, bei dem der Server des Angreifers behauptet, über kein SHA-2-Zertifikat zu verfügen, weshalb man auf SHA-1 zurückgreifen müsse.

Das Problem, welches Mozilla jetzt bei Nutzern ausgemacht hat, ist, dass sich zahlreiche Sicherheitslösungen selbst wie ein Man-in-the-Middle-Angreifer verhalten, also zwischen den Browser und den eigentlich angesteuerten Server drängen. Wer hinter einem solchen Sicherheits-Scanner oder Antivirenprodukt sitze, könne dann nicht mehr mit Firefox aufs Internet zugreifen, heißt es.

Eine neue Version von Firefox lässt aus diesem Grund wieder HTTPS-Verbindungen mit SHA-1-Zertifikaten zu. Betroffene Anwender müssen es manuell aufspielen, da Firefox-Updates grundsätzlich verschlüsselt vonstatten gehen. Mozilla ist jedoch weiterhin gewillt, SHA-1-Zertifikate auf Dauer zu blockieren. Anbieter der fraglichen Sicherheitsprodukte sollten Barnes zufolge stattdessen ihre Produkte anpassen. Einen neuen Zeitplan gab Mozilla nicht bekannt.

Googles Browser Chrome 48 akzeptiert vorerst keine SHA-1-Zertifikate mehr, die am 1. Januar 2016 oder später vergeben wurden. Spätestens ab 1. Januar 2017 wird Chrome dann überhaupt keine SHA-1-Zertifikate mehr unterstützen. Diesen Zeitplan hatten Google, Mozilla und auch Microsofts Edge-Team im Interesse der Sicherheit ihrer Anwender vereinbart. Google erwägt zudem, das endgültige Ende vorzuverlegen, so wie es Mozilla versuchte.

[mit Material von Florian Kalenda, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen