1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Chrome: Zertifizierungsstellen…

Danke Google!

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Danke Google!

    Autor: The-Master 06.09.14 - 16:31

    Es ist selten, aber manchmal kann die dominanz von google auch mal zum vorteil für den Nutzer sein. Die konsequente umsetzung von modernen standards beim thema SSL/TLS ist längt überfällig. Wenn zertifizierungsstellen im jahr 2014 damit nicht klarkommen, dann brauchen sie sich nicht wundern, dass es bald ein rotes warnsymbol bei ihren zertifikaten geben wird.

  2. Re: Danke Google!

    Autor: RipClaw 06.09.14 - 16:42

    The-Master schrieb:
    --------------------------------------------------------------------------------
    > Es ist selten, aber manchmal kann die dominanz von google auch mal zum
    > vorteil für den Nutzer sein. Die konsequente umsetzung von modernen
    > standards beim thema SSL/TLS ist längt überfällig. Wenn
    > zertifizierungsstellen im jahr 2014 damit nicht klarkommen, dann brauchen
    > sie sich nicht wundern, dass es bald ein rotes warnsymbol bei ihren
    > zertifikaten geben wird.

    Den Zertifikatsaustellern wird das egal sein. Die müssen nur ihre Rootzertifikate und Zwischenzertifikate mit SHA-2 signieren und diese dann verwenden um die Kundenzertifikate damit zu signieren.

    Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat zurückbekommen haben.

    Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf jetzt das Zertifikat austauschen weil es eben länger als bis zum 1. Januar 2017 läuft.

  3. Re: Danke Google!

    Autor: The-Master 06.09.14 - 16:49

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    >
    > Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer
    > Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat zurückbekommen
    > haben.
    >
    > Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder
    > weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf jetzt
    > das Zertifikat austauschen weil es eben länger als bis zum 1. Januar 2017
    > läuft.

    Auch vor 2 jahren war SHA1 schon längst veraltet. Das kommt ja nun wirklich nicht überraschend. Anders als bei der TLS1.2 problematik gibt es nichtmal einen echten grund, warum man nicht schon seit jahren auf etwas modernes gesetzt hat, wenn selbst windows XP seit jahren damit umgehen konnte.



    1 mal bearbeitet, zuletzt am 06.09.14 16:52 durch The-Master.

  4. Re: Danke Google!

    Autor: RipClaw 06.09.14 - 19:15

    The-Master schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer
    > > Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat
    > zurückbekommen
    > > haben.
    > >
    > > Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder
    > > weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf
    > jetzt
    > > das Zertifikat austauschen weil es eben länger als bis zum 1. Januar
    > 2017
    > > läuft.
    >
    > Auch vor 2 jahren war SHA1 schon längst veraltet. Das kommt ja nun wirklich
    > nicht überraschend. Anders als bei der TLS1.2 problematik gibt es nichtmal
    > einen echten grund, warum man nicht schon seit jahren auf etwas modernes
    > gesetzt hat, wenn selbst windows XP seit jahren damit umgehen konnte.

    Kurze Info.

    Bis vor ca. 5 Monaten hat kaum ein Zertifikatsaussteller überhaupt SHA-2 signierte Zertifikate ausgestellt. Im März hat Microsoft erst verkündet das sie ab 2017 keine SHA-1 signierten Zertifikate mehr akzeptieren und danach ist er Bewegung in die Sache gekommen.

    Bis 25C3 auf dem Chaos Congress ein Forscherteam den Vortrag "MD5 considered harmful today" gehalten hat, haben einige Zertifikatsaussteller immer noch MD5 verwendet.

    Die einzigen Zertifikate von denen ich weiß das sie schon vorher mit SHA-2 signiert wurden sind die Zertifikate für die qualifizierte Signatur.
    Da wurde schon vor Jahren auf SHA-2 umgestellt.

    Ach ja und noch was. Vor SP3 konnte der IE unter XP nicht mit SHA-2 signierten Zertifikaten umgehen. Und du kannst darauf wetten das in einigen Unternehmen bis heute noch kein SP3 ausgerollt wurde.



    3 mal bearbeitet, zuletzt am 06.09.14 19:29 durch RipClaw.

  5. Re: Danke Google!

    Autor: raphaelo00 07.09.14 - 00:14

    Selbst schuld beim letzten Punkt, wenn Firmen keine Verantwortung zeigen wollen. Ist aber trotzdem keine Ausrede fürs nicht Einführen von sha>1.
    Ich denke eher man sollte von dem Zeitpunkt zählen, als das OS gelernt hat mit einer neuen Funktion umzugehen, nicht bis auch der letzte updatet.

  6. Re: Danke Google!

    Autor: RipClaw 07.09.14 - 08:53

    raphaelo00 schrieb:
    --------------------------------------------------------------------------------
    > Selbst schuld beim letzten Punkt, wenn Firmen keine Verantwortung zeigen
    > wollen. Ist aber trotzdem keine Ausrede fürs nicht Einführen von sha>1.

    Den meisten Seitenbetreibern ist nicht klar was für eine Signatur auf dem Zertifikat ist da die meisten Aussteller gar nicht angeben was sie verwenden.

    In der Regel reicht man beim Zertifikatsaussteller einen Zertifikatsrequest ein und der gibt einem nach entsprechender Überprüfung ein unterschriebenes Zertifikat zurück.
    Bei den meisten Anbietern gibt es kein Auswahlfeld welchen Algorithmus man denn gern hätte.

    > Ich denke eher man sollte von dem Zeitpunkt zählen, als das OS gelernt hat
    > mit einer neuen Funktion umzugehen, nicht bis auch der letzte updatet.

    Es gab für das Ende von SHA-1 durchaus schon einen Zeitplan aber Google hat ihn über den Haufen geworfen als sie beschlossen haben über die Nutzer ihres Browsers Druck auf die Seitenbetreiber auszuüben.

    Wenn da ein durchgestrichenes Schloss als Symbol zu sehen ist dann gucken die meisten nicht nach was das bedeutet sondern da wird gleich Panik geschoben.

  7. Re: Danke Google!

    Autor: bofhl 08.09.14 - 10:21

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > The-Master schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RipClaw schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > >
    > > > Die ganze Arbeit kriegen die Admins ab die Zertifikate mit längerer
    > > > Laufzeit bestellt haben und ein SHA-1 signiertes Zertifikat
    > > zurückbekommen
    > > > haben.
    > > >
    > > > Zertifikate haben Laufzeiten bis zu 5 Jahren und wer vor 2 Jahren oder
    > > > weniger ein Zertifikat mit 5 Jahren Laufzeit bestellt hat, der darf
    > > jetzt
    > > > das Zertifikat austauschen weil es eben länger als bis zum 1. Januar
    > > 2017
    > > > läuft.
    > >
    > > Auch vor 2 jahren war SHA1 schon längst veraltet. Das kommt ja nun
    > wirklich
    > > nicht überraschend. Anders als bei der TLS1.2 problematik gibt es
    > nichtmal
    > > einen echten grund, warum man nicht schon seit jahren auf etwas modernes
    > > gesetzt hat, wenn selbst windows XP seit jahren damit umgehen konnte.
    >
    > Kurze Info.
    >
    > Bis vor ca. 5 Monaten hat kaum ein Zertifikatsaussteller überhaupt SHA-2
    > signierte Zertifikate ausgestellt. Im März hat Microsoft erst verkündet das
    > sie ab 2017 keine SHA-1 signierten Zertifikate mehr akzeptieren und danach
    > ist er Bewegung in die Sache gekommen.

    Ausgestellt haben diese Zertifikatsaussteller schon SHA-2 signierte Zertifikate, blos waren die teurer und mussten extra angefragt werden! Einfach weil kaum ein Kunde diese wollte.

    >
    > Bis 25C3 auf dem Chaos Congress ein Forscherteam den Vortrag "MD5
    > considered harmful today" gehalten hat, haben einige Zertifikatsaussteller
    > immer noch MD5 verwendet.
    >
    > Die einzigen Zertifikate von denen ich weiß das sie schon vorher mit SHA-2
    > signiert wurden sind die Zertifikate für die qualifizierte Signatur.
    > Da wurde schon vor Jahren auf SHA-2 umgestellt.
    >
    > Ach ja und noch was. Vor SP3 konnte der IE unter XP nicht mit SHA-2
    > signierten Zertifikaten umgehen. Und du kannst darauf wetten das in einigen
    > Unternehmen bis heute noch kein SP3 ausgerollt wurde.
    Und SP3 ist seit 6 Jahren verfügbar - daher ist das kein Grund mehr!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT System Engineer (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau in der Pfalz
  2. Referentin bzw. Referent (m/w/d) für IT und Digitalisierung
    Behörde für Justiz und Verbraucherschutz, Hamburg
  3. Expert*in Projektmanagement (m/w/d)
    Stadtwerke München GmbH, München
  4. Softwareentwickler (m/w/d) Automatisierungstechnik
    Dürr Systems AG, Goldkronach

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de