Nach dem Microsoft schon vor einer Zeit angekündigt hat, dass man Zertifikate, die als Algorithmus SHA-1 verwenden, ab Anfang 2016 bzw. ab 2017 nicht mehr als vertrauenswürdig einstufen wird, hat Google nun auch für Google Chrome Änderungen angekündigt.
In mehreren Stufen wird das Vertrauen in die Zertifikate zurück gebaut. Los geht es mit Google Chrome 39, der seinen Branchpunkt in knapp drei Wochen haben wird.
End-entity (“leaf”) certificates, die am oder nach dem 1. Januar 2017 ablaufen, werden in Chrome 39 als „secure, but with minor errors“ also als „sicher, aber mit kleineren Fehlern“ eingestuft. Das grüne Schloss wird durch ein Schloss mit einem gelben Dreieck ersetzt:
Ab Chrome 40 (Branchpoint im November 2014, Release im Stable Channel Anfang 2015 werden Zertifiktate, die SHA-1 verwenden und zwischen dem 1. Juni und dem 31. Dezember ablaufen, als „sicher, aber mit kleineren Fehlern“ werden eingestuft. Zertifiktate, die nach dem 1. Januar 2017 gültig sind, haben in der Omnibox dann kein Schloss mehr:
Irgendwann im ersten Quartal 2015 wird Chrome 41 seinen Branchpoint haben. Zertifikate, die nach dem 1. Januar 2017 noch gültig sind und SHA-1 verwenden werden als affirmatively insecure eingestuft.
Aktuell erscheint dann ein durchgestrichenes https sowie ein Schloss mit einem x.
Viele Zertifizierungsstellen geben inzwischen Zertifikatestandardmäßig mit sha256 aus.
Auch Mozilla plant derzeit Zertifikaten, die SHA-1 verwenden, das Vertrauen zu entziehen.
Bereits vor 9 Jahren wurde festgestellt, dass SHA-1 nicht so sicher ist, wie man dachte. Durch Kollisionen können Angreifer auch bei verschlüsselten Webseiten abgreifen. Weitere Infos zu den Schritten von Google gibt es in der Ankündigung. Weiteres zu Microsoft gibt es hier.