Schlagwort-Archive: Mozilla

Nächste Phase der SHA-1-Abschaltung durch die Web-Browser ab Anfang 2017

Die nächste Phase der SHA-1-Abschaltung durch die Web-Browser steht ab Anfang 2017 ins Haus:

Konkret bedeutet das, dass nach dem jeweiligen Stichtag Microsoft-Systeme bzw. Mozilla/Firefox und Google/Chrome Web-Browser (jeweils aktuelle Software vorausgesetzt) mit einer Zertifikatsfehlermeldung vor TLS/SSL-Verbindungen zu Servern warnen, falls diese immer noch ein altes SHA-1-Server-Zertifikat oder SHA-1-Zwischen-CA-Zertifikat der öffentlich vertrauten DFN-PKI „Global“ präsentieren.

Das mit einer SHA-1-Selbstsignatur versehene Wurzel-CA-Zertifikat „Deutsche Telekom Root CA 2“ der ersten DFN-PKI Global Generation muss auch weiterhin nicht ausgetauscht werden (siehe Erläuterung in der FAQ). Das Wurzel-CA-Zertifikat „T-TeleSec GlobalRoot Class 2“ der neuen DFN-PKI Global Generation trägt bereits eine SHA-256-Selbstsignatur.

Weiteres zum Thema:

(rkm, 02.12.2016)

Firefox 33 und die Web-RA-Oberfläche der DFN-PKI

Mit dem Erscheinen der neuesten Version 33 von Mozilla Firefox ergeben sich leider deutliche Veränderungen bei der Benutzung der Web-RA-Oberfläche der DFN-PKI durch Teilnehmerservice Mitarbeiter:

Mit der Web-RA-Oberfläche konnten in der Vergangenheit Zertifikat- und Sperranträge genehmigt werden.

Leider hat Mozilla die zugrunde liegende Funktionalität aus Firefox 33 entfernt, so dass in der Web-RA-Oberfläche keine Zertifikat- und Sperranträge mehr genehmigt werden können. Seamonkey 2.30 ist ebenfalls betroffen.

Wichtig:

  • Die Beantragung von Zertifikaten und Sperrungen durch Nutzer und alle weiteren Features der Web-Oberfläche funktionieren nach wie vor ohne Einschränkungen.
  • Es ist ausschließlich das Genehmigen von Zertifikat- und Sperranträgen in der Web-Oberfläche betroffen.

Sie haben jetzt die folgenden Alternativen, um Zertifikat- und Sperranträge zu genehmigen:

(jbr, 16.10.2014)

Mozilla und SHA-1 Zertifikate

Nach Microsoft und Google hat auch Mozilla sein Vorgehen zur Abkündigung von SHA-1 Zertifikaten veröffentlicht.

Für Nutzer der DFN-PKI ergeben sich keine weiteren Einschränkungen, da Mozilla einen Mittelweg zwischen Microsofts und Googles Vorgehensweisen plant:

https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

Nach aktuellem Stand wird Mozilla für Zertifikate,die einen Gültigkeitsbeginn ab 1.1.2016 haben und mit SHA-1 signiert sind, eine „Untrusted Connection“ anzeigen.

Ab 1.1.2017 wird für alle SHA-1 Zertifikate unabhängig vom Ausstellungsdatum eine „Untrusted Connection“ angezeigt.

(jbr, 24.09.2014)