Fast 40 Millionen Menschen weltweit können ab dem 1. Januar 2016 keine sicheren https-Webseiten mehr ansurfen, weil ihre veralteten Browser den modernen Verschlüsselungsstandard nicht unterstützen. [...]
Ab dem 1. Januar 2016 werden Besitzer von mehr als fünf Jahre alten Mobiltelefonen oder Rechnern Probleme beim Surfen im Web bekommen, wie Buzzfeed meldet, weil sie Browser verwenden, die nur einen alten Verschlüsselungsstandard unterstützen.
Unter anderem können die Betroffenen im neuen Jahr nicht mehr die zertifizierten und verschlüsselten Webseiten von Facebook, Google oder Twitter ansurfen und auch kein Online-Banking mehr machen. Betroffen von dem Problem dürften vor allem Internetnutzer in der dritten Welt und in Schwellenländern sein, weil in den Industrieländern kaum noch jemand ein fünf Jahre altes Gerät benutzen dürfte.
Der Grund liegt in der Technik begründet, wie Webseiten dem Nutzer anzeigen, dass sie sicher sind. Konkret geht es also um die Technik, die hinter dem „https“ und dem grünen Schlosssymbol in der Adressleiste des Browsers steckt. Diese Symbole zeigen an, dass eine Webseite auf ihre Identität überprüft wurde und als zertifiziert gelten kann (dafür dienen Zertifikate, die von einer Zertifizierungsstelle ausgestellt werden). Der Besucher der Webseite sieht daran, dass er wirklich bei Google, Facebook oder seiner Bank gelandet ist und nicht auf einer gefälschten Hackerseite. Zudem werden die zwischen Server und Browser ausgetauschten Daten verschlüsselt (Ende-zu-Ende-Verschlüsselung). Dies erfolgt über SSL und dessen Nachfolger TLS.
Damit sind wir bei dem Problem angelangt, das viele Nutzer älterer Mobilfunkgeräte und PCs am 1.1.2016 eiskalt erwischen könnte. Denn die für SSL/TLS-Zertifikate immer noch verwendete Verschlüsselungsmethode SHA-1 gilt als unsicher und bald knackbar (das SHA steht für Secure Hash Algorithm). Deshalb will das CA/Browser-Forum, der Zusammenschluss von Firmen, die sich um die Verschlüsselungsstandards kümmert, den Hash-Algorithmus SHA-1 ab dem 1. Januar 2016 um Mitternacht nicht mehr unterstützen und keine SHA-1-Zertifikate mehr ausgeben. Stattdessen gibt es nur noch die stärker verschlüsselten SHA-2-Zertifikate.
Experten gehen davon aus, dass durch das Abschalten von SHA-1 vier bis fünf Prozent der Nutzer außerhalb von Nordamerika und Europa vom sicheren Internet abgeschnitten werden könnten, weil die Browser auf ihren Geräten nur SHA-1 unterstützen. In Ägypten sollen 4,8 Prozent der Nutzer betroffen sein, in China sogar über sechs Prozent. Alles zusammen könnten 37 Millionen Menschen weltweit nicht mehr sicher surfen können.
Alex Stamos, Facebook Chief Security Officer, kritisiert diesen harten Umstieg und fordert, dass das CA/Browser-Forum einige Änderungen vornimmt. Facebook schlägt zum Beispiel vor, dass ältere Browser ein SHA-1-Zertifikat bekommen sollen und neuere Browser ein SHA-2-Zertifikat.
Beim CA/Browser-Forum zeigt man durchaus Verständnis für das Problem. Allerdings müssten sich alle wichtigen Browser-Hersteller auf eine einheitliche Vorgehensweise einigen, also Google, Microsoft, Apple und Mozilla. Diese räumen SHA-1 aber anscheinend für das Jahr 2016 noch eine Übergangsfrist ein. So werden die gängigen Browser während des Jahres 2016 dem Nutzer eine Warnung anzeigen, wenn ein SHA-1-Zertifikat verwendet wird.
* Hans-Christian Dirscherl ist Redakteur der PC-Welt.
Be the first to comment