Mozilla erlaubt unsichere SHA-1-Zertifikate

Der SHA-1-Algorithmus für SSL-Verbindungen ist von mehreren theoretischen Angriffsszenarien betroffen, welche SHA-1 unsicher und auch praktisch angreifbar machen. Der Algorithmus als solcher gilt seit einem Jahrzehnt als unsicher.

Nun hat Mozilla dem Zertifikat-Anbieter Symantec erlaubt, neun neue Zertifikate für den Payment-Anbieter Worldplay für die Kommunikation mit über 10.000 Zahlterminals weltweit auszustellen - es wurde schlicht vergessen, die Zertifikate vor dem 1. Januar 2016 zu erneuern. Gleichzeitig hat es der Zahlungsanbieter nicht geschafft, auf SHA-2 umzusteigen.

Obgleich es aktuell Probleme mit bestimmten Man-in-the-Middle-Services wie beispielsweise Antiviren-Produkten gibt, ist die Entscheidung nicht unumstritten: Mozilla könnte sich in Zukunft weiteren Anfragen ausgesetzt sehen, bei denen eine verschlampte SHA-2-Integration als Begründung für die Erteilung unsichere Zertifikate dient.  

Erstelle einen neuen Thread im News-Forum über dieses Thema
Dieser Thread ist für Kommentare geschlossen
Noch keine Kommentare
    Dein Kommentar