1.  
  2.  
  3.  
  4.  
Zurück
Login

Kann es sein, dass die Meldung über Googles "sha1-Bashing" eine Falschmeldung ist?

23. März 2015 | Lars Ewald | erschienen in IT-Security | qurl: http://l9e.de/897
Denn Chrome 41 gibt es nun seit dem 19. März und die Ankündigung Zertifikate mit einer SHA-1-Signatur als "rot" anzuzeigen wurde offenbar nicht umgesetzt.

http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html

Möglicherweise liegt das aber auch daran, dass Google sich sonst selber an einigen Stellen "rot" markieren müsste.

Google SHA-1

Kommentare lesen

Denis
Avatar
25.03.2015
Chrome zeigt durchaus verschiedene Warn-Icons an, auch wenn es den roten tatsächlich noch nicht zu geben scheint.

Die Warnung hängt von der Gültigkeitsdauer des untersten Zertifikats ab: „Kurzlebige“ Zertifikate bis Ende 2015 werden vollständig akzeptiert und führen nie zu einer Warnung. Bis Ende 2016 gibt es ein gelbes Dreieck. Und ab Anfang 2017 verschwindet das Padlock-Icon ganz.

Die genauen Datumsgrenzen habe ich nicht getestet, aber offenbar haben die Chrome-Entwickler einfach nur die dritte „Verdammungsstufe“ hinausgezögert (wo dann das rote Icon kommt).

Wobei sowieso kaum jemand die Bedeutung der ganzen Icons verstehen dürfte. Otto Normalverbraucher weiß vielleicht noch, dass ein Padlock für eine sichere Verbindung steht. Aber jetzt haben wir fünf(!) verschiedene Abstufungen: kein Padlock, Padlock mit gelbem Dreieck, Padlock mit roter Warnung, grünes Padlock, grünes Padlock mit Extended Validation. Wem soll das nützen?

Ich bin für ein Notensystem wie beim SSL-Labs-Test. Das wäre sowohl leichter zu verstehen als auch sehr viel differenzierter. Außerdem würde es einen gewissen Druck erzeugen: Wer will schon in aller Öffentlichkeit mit einer „4“ für seine Sicherheit herumlaufen?


25.03.2015
Nein, mein Chrome meldet überhaupt keine Fehler. Auch auf Seiten mit Ablaufdatum des Zertifikats 2017 wird alles "grün" angezeigt. Möglicherweise hapert es aber auch noch an der Prüfung der Zwischenzertifikate. Denn das eigentliche Zertifikat und die direkte Sub-CA sind mit SHA-256 signiert. Nur die Resale-CA unter dem Root-CA ist unglücklicherweise SHA-1 signiert.



Kommentar verfassen

Name:

E-Mail (nicht veröffentlicht):

Webseite (optional):

Kommentar:





Sicherheitscode:
 
Hinweis:
[code lang=(PHP/JAVA/...)]...[/code] wird nach dem Abschicken mit einem Syntax-Highlighter versehen.
 
 
 
© Lars Ewald 2015
Kontakt | Impressum