Blockade: Mai-Patchday macht für Edge und IE Schluss mit SHA-1
Etwas untergegangen ist eine Meldung zum Mai-Patch-Day in Bezug zu SHA-1: Nachdem Microsoft bereits das Ende für den Hash-Algorithmus SHA-1 in seinen Browsern angekündigt hatte, folgen mit den Updates zum Patch-Day nun auch die Blockaden.
HTTPS-Seiten die noch den SHA-1 Hash-Algorithmus in den Signaturen verwenden, werden ab sofort von Edge und dem Internet Explorer nur noch mit einer Vorschaltseite angezeigt. Statt der eigentlichen Webseite sieht der Besucher dann nur noch eine Fehlermeldung, die ihn darüber aufklärt, dass für die Webseite eine veraltete, unsichere Verschlüsselungsmethode genutzt wurde. Der Nutzer wird anstelle der Webseite dann nur einen Warnhinweis sehen, in dem von einem "ungültigen Zertifikat" die Rede sein wird.
Infografik: Die Geschichte der Kryptographie
Doch so oder so - die Entscheidung und die Maßnahmen kommen viel zu spät. Bereits vor zwölf Jahren, im Jahr 2005, wurde gezeigt, wie SHA-1 geknackt werden könnte. Der tatsächliche Beweis erfolgte zwar erst viele Jahre später, genauer gesagt Anfang dieses Jahres, aber viele Browser-Entwickler zogen frühzeitig die Notbremse und strichen SHA-1 aus den Zerifikat-Listen.
Microsoft beschloss dagegen den 1995 eingeführten Hash-Algorithmus SHA-1 zur Verschlüsselung in seinen Produkten erst ab 2017 nicht mehr zu akzeptieren.
Es geht dabei im Übrigen gar nicht nicht um alle SHA-1-Zertifikate, zumindest nicht aktuell: "Dies wirkt sich nur auf SHA-1-Zertifikate aus, die mit einer vertrauenswürdigen Stammzertifizierungsstelle von Microsoft verknüpft sind. Manuell installierte Unternehmens- oder selbst signierte SHA-1-Zertifikate werden nicht beeinflusst, obwohl wir allen Kunden empfehlen, schnell zu SHA-256 zu migrieren", erklärte das Microsoft-Edge-Team bereits.
Siehe auch: SHA-1: Google schafft Kollisionen jetzt bei sinnvollen Inhalten
Vorgeschaltete Warnung
Jeder Windows-Rechner mit dem neusten Security-Updates kann nun also von der vorgeschalteten Warnung profitieren. Zuvor gab es nur trügerische Sicherheit. HTTPS gaukelte auf der einen Seite vor, besonders sicher zu sein, wenn aber SHA-1 genutzt wurde, war es auf der anderen Seite nur Makulatur.Langer Ausstieg
Das Thema SHA-1-"Ausstieg" beschäftigt Microsoft dabei schon länger. 2015 wurden erste Maßnahmen angekündigt, Ende 2016 dann der offizielle Zeitplan für den Ausstieg.Doch so oder so - die Entscheidung und die Maßnahmen kommen viel zu spät. Bereits vor zwölf Jahren, im Jahr 2005, wurde gezeigt, wie SHA-1 geknackt werden könnte. Der tatsächliche Beweis erfolgte zwar erst viele Jahre später, genauer gesagt Anfang dieses Jahres, aber viele Browser-Entwickler zogen frühzeitig die Notbremse und strichen SHA-1 aus den Zerifikat-Listen.
Microsoft beschloss dagegen den 1995 eingeführten Hash-Algorithmus SHA-1 zur Verschlüsselung in seinen Produkten erst ab 2017 nicht mehr zu akzeptieren.
Es geht dabei im Übrigen gar nicht nicht um alle SHA-1-Zertifikate, zumindest nicht aktuell: "Dies wirkt sich nur auf SHA-1-Zertifikate aus, die mit einer vertrauenswürdigen Stammzertifizierungsstelle von Microsoft verknüpft sind. Manuell installierte Unternehmens- oder selbst signierte SHA-1-Zertifikate werden nicht beeinflusst, obwohl wir allen Kunden empfehlen, schnell zu SHA-256 zu migrieren", erklärte das Microsoft-Edge-Team bereits.
Siehe auch: SHA-1: Google schafft Kollisionen jetzt bei sinnvollen Inhalten
Thema:
Neue Downloads zum Thema
Videos zum Thema
Beiträge aus dem Forum
Interessante Links & Themenseiten
Beliebte Windows 8 FAQ Einträge
Neue Nachrichten
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen