SHA-1-'Ausstieg': Microsoft veröffentlicht Countdown zum 14.2.2017

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Der Software-Konzern Microsoft hatte schon vor gut einem Jahr bekannt gegeben, den 1995 eingeführten Hash-Algorithmus SHA-1 zur Verschlüsselung in seinen Produkten ab 2017 nicht mehr zu akzeptieren. Nun startet der Konzern den offiziellen Countdown.
Am Valentinstag 2017, also ab dem 14. Februar, wird Microsoft damit beginnen entsprechende mit SHA-1 angelegte Zertifikate in Microsoft Edge und dem Internet Explorer 11 abzulehnen. Deutlich stärkere Verfahren stehen mit SHA-2 und SHA-3 schon seit einiger Zeit zur Verfügung, und sollten daher auch genutzt werden. Laut Microsoft werden nun bald beide aktuellen Webbrowser dann alle Webseiten vom Laden abhalten, die solche Zertifikate einsetzen. Der Nutzer wird anstelle der Webseite dann nur einen Warnhinweis sehen, in dem von einem "ungültigen Zertifikat" die Rede sein wird. Infografik: Die Geschichte der KryptographieDie Geschichte der Kryptographie

Der Nutzer darf entscheiden

Für Nutzer ist damit aber im Februar noch nicht der Besuch einer solchen Webseite mit SHA-1-Krypto ausgeschlossen. Zunächst wird Microsoft eine Umgehung dieses Sicherheitsmechanismus zulassen. Dem Anwender wird freigestellt, ob er diese Warnung annimmt oder ob er sie übergehen will und die schutzlose Seite dennoch besuchen möchte.

Es geht dabei im Übrigen vorerst nicht um alle SHA-1-Zertifikate: "Dies wirkt sich nur auf SHA-1-Zertifikate aus, die mit einer vertrauenswürdigen Stammzertifizierungsstelle von Microsoft verknüpft sind. Manuell installierte Unternehmens- oder selbst signierte SHA-1-Zertifikate werden nicht beeinflusst, obwohl wir allen Kunden empfehlen, schnell zu SHA-256 zu migrieren", schreibt das Microsoft-Edge-Team im Windows-Blog.

Siehe auch: Microsoft veröffentlicht konkreten Fahrplan zum Ausstieg aus SHA-1

Für Entwickler hat Microsoft jetzt einen Test zur Verfügung gestellt, mit dem man sich anzeigen lassen kann, wie die Webbrowser ab Februar die eigenen Seiten anzeigen werden. Der Konzern signalisiert dann auch alle genauen Konsequenzen, die die Umstellung für Webseitenbetreiber haben wird.

Auch andere Unternehmen haben diesen konsequenten Schritt bereits eingeleitet oder teilweise schon umgesetzt. Vorreiter sind dabei Google und Mozilla als Anbieter der beliebtesten Webbrowser.

Mehr dazu: Es wird brenzlig: Microsoft wirft SHA-1 schon bald komplett raus Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Tipp einsenden