Menü
Security

Firefox: Mozilla schaltet SHA-1 ab … und direkt wieder an

Einige Sicherheits-Appliances, die Man-in-the-Middle-Analysen durchführen, kommen nicht damit klar, dass Firefox ab dem 1. Januar SHA-1-Zertifikate ablehnt. Darum hat Mozilla SHA-1 fürs erste wieder für akzeptabel erklärt.

Von
vorlesen Drucken Kommentare lesen 217 Beiträge
Firefox: Mozilla schaltet SHA-1 ab ...und direkt wieder an

Am 1. Januar hat Firefox planmäßig damit angefangen, die als unsicher geltenden SHA-1-Zertifikate zurückzuweisen. Da dies bei einigen Nutzern zu Problemen geführt hat, macht Mozilla diesen Schritt nun mit einem neuen Firefox-Update wieder rückgängig. Die Entwickler wollen SHA-1 nach wie vor ausmustern, allerdings wurde ein erneuter Versuch erst einmal auf unbestimmte Zeit vertagt.

Auslöser für den Rückzieher sind laut Mozilla Sicherheits-Produkte, die Man-in-the-Middle-Entschlüsselung durchführen. Darunter Web-Filter und Anti-Viren-Software, die verschlüsselten SSL-Traffic aufmachen muss, um den Inhalt zu untersuchen. Viele Produkte kommen offensichtlich nicht damit klar, dass der Browser die von ihnen verteilten SHA-1-Zertifikate nicht akzeptiert. Darunter sind auch die Web-Interfaces einiger Home-Router. Laut Mozilla arbeiten viele der Hersteller daran, das Problem in ihren Geräten zu lösen. Bis diese Probleme für viele Nutzer behoben sind wolle man deswegen weiterhin SHA-1 erlauben.

Nutzer, die mit Firefox seit dem 1. Januar nicht mehr surfen können, sollten die neueste Firefox-Version installieren. Das klappt allerdings nicht aus dem betroffenen Netz, da auch Firefox-Updates über SSL verteilt werden. Als Workaround kann man auch den Wert security.pki.sha1_enforcement_level im about:config-Dialog des Browsers auf 0 setzen.

Bereits im Dezember hatten Facebook und Cloudflare zu bedenken gegeben, dass ein generelles SHA-1-Verbot Probleme für manche Nutzer bereiten könnte. Denn auch in Entwicklungsländern gibt es noch viele Geräte, die ohne SHA-1 nicht klar kommen. Microsoft will SHA-1 zum 1. Januar 2017 in Rente schicken. (fab)