1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Chrome: Zertifizierungsstellen…

Danke Google!

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Danke Google!

    Autor: The-Master 06.09.14 - 16:31

    Es ist selten, aber manchmal kann die dominanz von google auch mal zum vorteil für den Nutzer sein. Die konsequente umsetzung von modernen standards beim thema SSL/TLS ist längt überfällig. Wenn zertifizierungsstellen im jahr 2014 damit nicht klarkommen, dann brauchen sie sich nicht wundern, dass es bald ein rotes warnsymbol bei ihren zertifikaten geben wird.

  2. Re: Danke Google!

    Autor: RipClaw 06.09.14 - 16:42

    The-Master schrieb:
    --------------------------------------------------------------------------------
    > Es ist selten, aber manchmal kann die dominanz von google auch mal zum
    > vorteil für den Nutzer sein. Die konsequente umsetzung von modernen
    > standards beim thema SSL/TLS ist längt überfällig. Wenn
    > zertifizierungsstellen im jahr 2014 damit nicht klarkommen, dann brauchen
    > sie sich nicht wundern, dass es bald ein rotes warnsymbol bei ihren
    > zertifikaten geben wird.

    Den Zertifikatsaustellern wird das egal sein. Die müssen nur ihre Rootzertifikate und Zwischenzertifikate mit SHA-2 signieren und diese dann verwenden um die Kundenzertifikate damit zu signieren.

    Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat zurückbekommen haben.

    Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf jetzt das Zertifikat austauschen weil es eben länger als bis zum 1. Januar 2017 läuft.

  3. Re: Danke Google!

    Autor: The-Master 06.09.14 - 16:49

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    >
    > Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer
    > Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat zurückbekommen
    > haben.
    >
    > Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder
    > weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf jetzt
    > das Zertifikat austauschen weil es eben länger als bis zum 1. Januar 2017
    > läuft.

    Auch vor 2 jahren war SHA1 schon längst veraltet. Das kommt ja nun wirklich nicht überraschend. Anders als bei der TLS1.2 problematik gibt es nichtmal einen echten grund, warum man nicht schon seit jahren auf etwas modernes gesetzt hat, wenn selbst windows XP seit jahren damit umgehen konnte.



    1 mal bearbeitet, zuletzt am 06.09.14 16:52 durch The-Master.

  4. Re: Danke Google!

    Autor: RipClaw 06.09.14 - 19:15

    The-Master schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer
    > > Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat
    > zurückbekommen
    > > haben.
    > >
    > > Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder
    > > weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf
    > jetzt
    > > das Zertifikat austauschen weil es eben länger als bis zum 1. Januar
    > 2017
    > > läuft.
    >
    > Auch vor 2 jahren war SHA1 schon längst veraltet. Das kommt ja nun wirklich
    > nicht überraschend. Anders als bei der TLS1.2 problematik gibt es nichtmal
    > einen echten grund, warum man nicht schon seit jahren auf etwas modernes
    > gesetzt hat, wenn selbst windows XP seit jahren damit umgehen konnte.

    Kurze Info.

    Bis vor ca. 5 Monaten hat kaum ein Zertifikatsaussteller überhaupt SHA-2 signierte Zertifikate ausgestellt. Im März hat Microsoft erst verkündet das sie ab 2017 keine SHA-1 signierten Zertifikate mehr akzeptieren und danach ist er Bewegung in die Sache gekommen.

    Bis 25C3 auf dem Chaos Congress ein Forscherteam den Vortrag "MD5 considered harmful today" gehalten hat, haben einige Zertifikatsaussteller immer noch MD5 verwendet.

    Die einzigen Zertifikate von denen ich weiß das sie schon vorher mit SHA-2 signiert wurden sind die Zertifikate für die qualifizierte Signatur.
    Da wurde schon vor Jahren auf SHA-2 umgestellt.

    Ach ja und noch was. Vor SP3 konnte der IE unter XP nicht mit SHA-2 signierten Zertifikaten umgehen. Und du kannst darauf wetten das in einigen Unternehmen bis heute noch kein SP3 ausgerollt wurde.



    3 mal bearbeitet, zuletzt am 06.09.14 19:29 durch RipClaw.

  5. Re: Danke Google!

    Autor: raphaelo00 07.09.14 - 00:14

    Selbst schuld beim letzten Punkt, wenn Firmen keine Verantwortung zeigen wollen. Ist aber trotzdem keine Ausrede fürs nicht Einführen von sha>1.
    Ich denke eher man sollte von dem Zeitpunkt zählen, als das OS gelernt hat mit einer neuen Funktion umzugehen, nicht bis auch der letzte updatet.

  6. Re: Danke Google!

    Autor: RipClaw 07.09.14 - 08:53

    raphaelo00 schrieb:
    --------------------------------------------------------------------------------
    > Selbst schuld beim letzten Punkt, wenn Firmen keine Verantwortung zeigen
    > wollen. Ist aber trotzdem keine Ausrede fürs nicht Einführen von sha>1.

    Den meisten Seitenbetreibern ist nicht klar was für eine Signatur auf dem Zertifikat ist da die meisten Aussteller gar nicht angeben was sie verwenden.

    In der Regel reicht man beim Zertifikatsaussteller einen Zertifikatsrequest ein und der gibt einem nach entsprechender Überprüfung ein unterschriebenes Zertifikat zurück.
    Bei den meisten Anbietern gibt es kein Auswahlfeld welchen Algorithmus man denn gern hätte.

    > Ich denke eher man sollte von dem Zeitpunkt zählen, als das OS gelernt hat
    > mit einer neuen Funktion umzugehen, nicht bis auch der letzte updatet.

    Es gab für das Ende von SHA-1 durchaus schon einen Zeitplan aber Google hat ihn über den Haufen geworfen als sie beschlossen haben über die Nutzer ihres Browsers Druck auf die Seitenbetreiber auszuüben.

    Wenn da ein durchgestrichenes Schloss als Symbol zu sehen ist dann gucken die meisten nicht nach was das bedeutet sondern da wird gleich Panik geschoben.

  7. Re: Danke Google!

    Autor: bofhl 08.09.14 - 10:21

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > The-Master schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RipClaw schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > >
    > > > Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer
    > > > Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat
    > > zurückbekommen
    > > > haben.
    > > >
    > > > Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder
    > > > weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf
    > > jetzt
    > > > das Zertifikat austauschen weil es eben länger als bis zum 1. Januar
    > > 2017
    > > > läuft.
    > >
    > > Auch vor 2 jahren war SHA1 schon längst veraltet. Das kommt ja nun
    > wirklich
    > > nicht überraschend. Anders als bei der TLS1.2 problematik gibt es
    > nichtmal
    > > einen echten grund, warum man nicht schon seit jahren auf etwas modernes
    > > gesetzt hat, wenn selbst windows XP seit jahren damit umgehen konnte.
    >
    > Kurze Info.
    >
    > Bis vor ca. 5 Monaten hat kaum ein Zertifikatsaussteller überhaupt SHA-2
    > signierte Zertifikate ausgestellt. Im März hat Microsoft erst verkündet das
    > sie ab 2017 keine SHA-1 signierten Zertifikate mehr akzeptieren und danach
    > ist er Bewegung in die Sache gekommen.

    Ausgestellt haben diese Zertifikatsaussteller schon SHA-2 signierte Zertifikate, blos waren die teurer und mussten extra angefragt werden! Einfach weil kaum ein Kunde diese wollte.

    >
    > Bis 25C3 auf dem Chaos Congress ein Forscherteam den Vortrag "MD5
    > considered harmful today" gehalten hat, haben einige Zertifikatsaussteller
    > immer noch MD5 verwendet.
    >
    > Die einzigen Zertifikate von denen ich weiß das sie schon vorher mit SHA-2
    > signiert wurden sind die Zertifikate für die qualifizierte Signatur.
    > Da wurde schon vor Jahren auf SHA-2 umgestellt.
    >
    > Ach ja und noch was. Vor SP3 konnte der IE unter XP nicht mit SHA-2
    > signierten Zertifikaten umgehen. Und du kannst darauf wetten das in einigen
    > Unternehmen bis heute noch kein SP3 ausgerollt wurde.
    Und SP3 ist seit 6 Jahren verfügbar - daher ist das kein Grund mehr!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Security Spezialist Kommunikation (m/w/d)
    Helios IT Service GmbH, Berlin-Buch
  2. IT-Leiter Cluster (m/w/d)
    Helios IT Service GmbH, Wiesbaden, Gotha, Meiningen, Erfurt
  3. IT-Softwareentwickler / Fachinformatiker (w/m/d)
    Seele GmbH, Gersthofen
  4. Digitalkoordinator/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. 499€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ohne Google, Android oder Amazon: Der Open-Source-Großangriff
Ohne Google, Android oder Amazon
Der Open-Source-Großangriff

Smarte Geräte sollen auch ohne die Cloud von Google oder Amazon funktionieren. Huawei hat mit Oniro dafür ein ausgefeiltes Open-Source-Projekt gestartet.
Ein Bericht von Sebastian Grüner

  1. Internet der Dinge Asistenten wie Alexa und Siri droht EU-Regulierung

Halo Infinite angespielt: Der grüne Typ ist wieder da
Halo Infinite angespielt
"Der grüne Typ ist wieder da"

Lustig kreischende Aliens, eine offene Welt und vertraute Waffen: Golem.de hat als Master Chief die Kampagne von Halo Infinite angespielt.

  1. Steam Microsoft verrät Systemanforderungen für Halo Infinite
  2. Microsoft Halo Infinite erscheint im Dezember 2021
  3. Halo Infinite angespielt Spartan-Bots machen dem Master Chief alle Ehre

Satellitenkonstellationen: Iod statt Xenon ist eine kleine Raumfahrtrevolution
Satellitenkonstellationen
Iod statt Xenon ist eine kleine Raumfahrtrevolution

Ionentriebwerke mit Iod sollen keine Leistungsrekorde aufstellen, sondern eine einfache und günstige Lösung für Satellitenkonstellationen wie Starlink sein.
Von Frank Wunderlich-Pfeiffer

  1. Skynet SpaceX soll britischen Militärsatelliten ins All bringen
  2. Patrick Drahi Eutelsat verhandelt über Verkauf an Telekom-Milliardär
  3. Von Cubesats zu Disksats Satelliten als fliegende Scheiben