SHA-1 nicht mehr unterstützt: 40 Mio. Menschen ohne sichere Internetverbindung SHA-1 nicht mehr unterstützt: 40 Mio. Menschen ohne sichere Internetverbindung - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


17.12.2015 Hans-Christian Dirscherl*

SHA-1 nicht mehr unterstützt: 40 Mio. Menschen ohne sichere Internetverbindung

Fast 40 Millionen Menschen weltweit können ab dem 1. Januar 2016 keine sicheren https-Webseiten mehr ansurfen, weil ihre veralteten Browser den modernen Verschlüsselungsstandard nicht unterstützen.

© CC0 Public Domain - pixabay.com

Ab dem 1. Januar 2016 werden Besitzer von mehr als fünf Jahre alten Mobiltelefonen oder Rechnern Probleme beim Surfen im Web bekommen, wie Buzzfeed meldet, weil sie Browser verwenden, die nur einen alten Verschlüsselungsstandard unterstützen.

Unter anderem können die Betroffenen im neuen Jahr nicht mehr die zertifizierten und verschlüsselten Webseiten von Facebook, Google oder Twitter ansurfen und auch kein Online-Banking mehr machen. Betroffen von dem Problem dürften vor allem Internetnutzer in der dritten Welt und in Schwellenländern sein, weil in den Industrieländern kaum noch jemand ein fünf Jahre altes Gerät benutzen dürfte.
 
Der Grund liegt in der Technik begründet, wie Webseiten dem Nutzer anzeigen, dass sie sicher sind. Konkret geht es also um die Technik, die hinter dem "https" und dem grünen Schlosssymbol in der Adressleiste des Browsers steckt. Diese Symbole zeigen an, dass eine Webseite auf ihre Identität überprüft wurde und als zertifiziert gelten kann (dafür dienen Zertifikate, die von einer Zertifizierungsstelle ausgestellt werden). Der Besucher der Webseite sieht daran, dass er wirklich bei Google, Facebook oder seiner Bank gelandet ist und nicht auf einer gefälschten Hackerseite. Zudem werden die zwischen Server und Browser ausgetauschten Daten verschlüsselt (Ende-zu-Ende-Verschlüsselung). Dies erfolgt über SSL und dessen Nachfolger TLS.
 
Damit sind wir bei dem Problem angelangt, das viele Nutzer älterer Mobilfunkgeräte und PCs am 1.1.2016 eiskalt erwischen könnte. Denn die für SSL/TLS-Zertifikate immer noch verwendete Verschlüsselungsmethode SHA-1 gilt als unsicher und bald knackbar (das SHA steht für Secure Hash Algorithm). Deshalb will das CA/Browser-Forum, der Zusammenschluss von Firmen, die sich um die Verschlüsselungsstandards kümmert, den Hash-Algorithmus SHA-1 ab dem 1. Januar 2016 um Mitternacht nicht mehr unterstützen und keine SHA-1-Zertifikate mehr ausgeben. Stattdessen gibt es nur noch die stärker verschlüsselten SHA-2-Zertifikate.
 
Experten gehen davon aus, dass durch das Abschalten von SHA-1 vier bis fünf Prozent der Nutzer außerhalb von Nordamerika und Europa vom sicheren Internet abgeschnitten werden könnten, weil die Browser auf ihren Geräten nur SHA-1 unterstützen. In Ägypten sollen 4,8 Prozent der Nutzer betroffen sein, in China sogar über sechs Prozent. Alles zusammen könnten 37 Millionen Menschen weltweit nicht mehr sicher surfen können.
 
Alex Stamos, Facebook Chief Security Officer, kritisiert diesen harten Umstieg und fordert, dass das CA/Browser-Forum einige Änderungen vornimmt. Facebook schlägt zum Beispiel vor, dass ältere Browser ein SHA-1-Zertifikat bekommen sollen und neuere Browser ein SHA-2-Zertifikat.
 
Beim CA/Browser-Forum zeigt man durchaus Verständnis für das Problem. Allerdings müssten sich alle wichtigen Browser-Hersteller auf eine einheitliche Vorgehensweise einigen, also Google, Microsoft, Apple und Mozilla. Diese räumen SHA-1 aber anscheinend für das Jahr 2016 noch eine Übergangsfrist ein. So werden die gängigen Browser während des Jahres 2016 dem Nutzer eine Warnung anzeigen, wenn ein SHA-1-Zertifikat verwendet wird.

* Hans-Christian Dirscherl ist Redakteur der PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: