Blockade: Mai-Patchday macht für Edge und IE Schluss mit SHA-1

Etwas untergegangen ist eine Meldung zum Mai-Patch-Day in Bezug zu SHA-1: Nachdem Microsoft bereits das Ende für den Hash-Algorithmus SHA-1 in seinen Browsern angekündigt hatte, folgen mit den Updates zum Patch-Day nun auch die Blockaden. HTTPS-Seiten die noch den SHA-1 Hash-Algorithmus in den Signaturen verwenden, werden ab sofort von Edge und dem Internet Explorer nur noch mit einer Vorschaltseite angezeigt. Statt der eigentlichen Webseite sieht der Besucher dann nur noch eine Fehlermeldung, die ihn darüber aufklärt, dass für die Webseite eine veraltete, unsichere Verschlüsselungsmethode genutzt wurde. Der Nutzer wird anstelle der Webseite dann nur einen Warnhinweis sehen, in dem von einem "ungültigen Zertifikat" die Rede sein wird. Infografik: Die Geschichte der Kryptographie

Vorgeschaltete Warnung

Jeder Windows-Rechner mit dem neusten Security-Updates kann nun also von der vorgeschalteten Warnung profitieren. Zuvor gab es nur trügerische Sicherheit. HTTPS gaukelte auf der einen Seite vor, besonders sicher zu sein, wenn aber SHA-1 genutzt wurde, war es auf der anderen Seite nur Makulatur.

Langer Ausstieg

Das Thema SHA-1-"Ausstieg" beschäftigt Microsoft dabei schon länger. 2015 wurden erste Maßnahmen angekündigt, Ende 2016 dann der offizielle Zeitplan für den Ausstieg.

Doch so oder so - die Entscheidung und die Maßnahmen kommen viel zu spät. Bereits vor zwölf Jahren, im Jahr 2005, wurde gezeigt, wie SHA-1 geknackt werden könnte. Der tatsächliche Beweis erfolgte zwar erst viele Jahre später, genauer gesagt Anfang dieses Jahres, aber viele Browser-Entwickler zogen frühzeitig die Notbremse und strichen SHA-1 aus den Zerifikat-Listen.

Microsoft beschloss dagegen den 1995 eingeführten Hash-Algorithmus SHA-1 zur Verschlüsselung in seinen Produkten erst ab 2017 nicht mehr zu akzeptieren.

Es geht dabei im Übrigen gar nicht nicht um alle SHA-1-Zertifikate, zumindest nicht aktuell: "Dies wirkt sich nur auf SHA-1-Zertifikate aus, die mit einer vertrauenswürdigen Stammzertifizierungsstelle von Microsoft verknüpft sind. Manuell installierte Unternehmens- oder selbst signierte SHA-1-Zertifikate werden nicht beeinflusst, obwohl wir allen Kunden empfehlen, schnell zu SHA-256 zu migrieren", erklärte das Microsoft-Edge-Team bereits.

Siehe auch: SHA-1: Google schafft Kollisionen jetzt bei sinnvollen Inhalten Verschlüsselung, Code, Kryptographie Christian Ditaputratama (CC BY-SA 2.0)