Google Chrome und SHA-1 Zertifikate

[Update 04.09.2014:Google hat seinen Plan modifiziert, siehe Update zu Google Chrome/SHA-1 Zertifikate]

Nachdem Microsoft im letzten Herbst angekündigt hat, ab 2017 mit dem Signaturalgorithmus SHA-1 signierte Zertifikate nicht mehr zu akzeptieren, wird auch in Chromium und Google Chrome an entsprechenden Maßnahmen gearbeitet.

Dabei sind Änderungen für die Version 39 (angekündigt für Herbst 2014) vorgesehen, die aktuell kontrovers diskutiert werden:

https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/2-R4XziFc S7A/YO0ZSrX_X4wJ

https://code.google.com/p/chromium/issues/detail?id=401365

Im Gegensatz zu Microsofts Plänen hätten die Änderungen in Chromium und Google Chrome bereits jetzt Auswirkungen: Bei Serverzertifikaten, die länger als bis zum 01.01.2016 gültig und mit dem Signaturalgorithmus SHA-1 signiert sind, wird das „https-Schloss“ in der Adresszeile rot durchgestrichen sein.

Zertifikate, die länger als bis zum 01.01.2017 gültig sind, sollen zusätzlich sogar Warnhinweise ähnlich den Mixed-Content-Warnungen erhalten, die einen Klick des Nutzers erfordern, um die Web-Seite anzuzeigen.

Sollte Chromium/Google diese Änderungen wie geplant umsetzen, bedeutet dies für die DFN-PKI Folgendes:

  • In der DFN-PKI werden relativ lange gültige Serverzertifikate mit 5-jähriger Laufzeit ausgestellt. (Nur noch bis zum 31.03.2015 möglich, siehe DFN-PKI CP Kapitel 6.3.2)
  • Dadurch sind sehr viele der aktuell im Einsatz befindlichen Serverzertifikate der DFN-PKI länger gültig als bis 1.1.2016 bzw. 1.1.2017 und noch mit SHA-1 signiert, und damit von den Änderungen des Chromium-Projektes betroffen.
  • Um die mit diesen Zertifikaten geschützten Webseiten weiterhin ohne UI-Einschränkungen auch in Chromium bzw. Google Chrome ab Version 39 anzeigen zu können, ist ein Austausch des Serverzertifikats gegen ein neues, mit SHA-2 signiertes Zertifikat erforderlich.

Da die SHA-2-Migration der DFN-PKI abgeschlossen ist, werden alle neu ausgestellten Serverzertifikate automatisch mit SHA-2 signiert.

Wenn Sie also eine Webseite betreiben, auf die Chromium oder Google Chrome Nutzer zugreifen, so können Sie ein neues Serverzertifikat beantragen und ausstellen lassen. Das neue Zertifikat erfüllt dann automatisch die neuen Anforderungen.

Wenn Chromium/Google die Pläne tatsächlich umsetzt, werden wir wieder berichten.

DFN-PKI FAQ zur SHA-2-Umstellung: https://www.pki.dfn.de/faqpki/faqpki-sha2/

(jbr, 29.08.2014)