Programmfehler in der NSS-Bibliothek im Chrome Browser
18.05.2016 | Petra Alm
Der Chrome Browser detektiert fehlerhaft das SHA-1 Zertifikat und zeigt eine unrichtige Warnung an. Die Ursache ist ein Bug in der NSS-Bibliothek.
SHA-1-Algorithmus des Intermediate-Zertifikats in Chrome wird falsch markiert
Das Problem wird von einem Bug in der NSS-Bibliothek verursacht, welche unter Linux in Chrome und Firefox für die Verschlüsselung bestimmt ist. Die Bibliothek wählt das sog. "Legacy Chain" zum Wurzelzertifikat beim Handshake in einigen Fällen automatisch.
Dadurch kommt es dazu, dass man 4 statt 3 Zertifikate in der Kette sehen kann und das Wurzelzertifikat als Intermediate-Zertifikat dargestellt wird, Chrome sieht dies automatisch als Fehler an. Der Browser zeigt die Fehlermeldung, wegen des SHA-1-Algorithmus im Chain. Es ist wichtig zu wissen, dass alle Root-Zertifikate noch mit SHA-1 ausgestellt werden und kein anderer Browser den Fehler zeigt.
Die Anwendung von zwei "Wegen" zum Root-Zertifikat ist aber normalerweise in Ordnung, die Zertifizierungsstelle erlauben das dank sog. "cross-signed" Intermediate-Zertifikaten, welche mit mehreren Root-Zertifikaten zusammenarbeiten können.
Das Root-Zertifikat mit SHA-1 wird als Intermediate-Zertifikat unter Linux im Chrome Browser angenommen
Übliche Browser prüfen den Algorithmus der Root-Zertifikate nicht, da sie sog. Selfsigned-Zertifikaten sind, dh. der SHA-1-Algorithmus in Root-Zertifikaten muss Ihnen keine Sorgen machen.
Wie kann man das Problem lösen?
Die Lösung ist ganz klar - man sollte die Lücke in der NSS-Bibliothek beheben und den Browsern helfen, die Chains der SSL-Zertifikate richtig zu verstehen. In Zukunft kommen die Root-Zertifikate mit den SHA-2-Algorithmus, trotzdem wird das Problem mit dem"legacy" Chain nicht gelöst; das wird sicher bleiben. Der Webbetreiber kann dagegen leider nichts tun.
Google ist zu aktiv und das scheint kontraproduktiv zu sein
In den letzten Monaten werden Browsers eher quantitativ als qualitativ weiter entwickelt. Google bereitet eine nicht geplante Überraschung in jeder neuen Chrome Version vor, die Sicherheitsmeldungen des Chrome Browsers sind in jeder Version unterschiedlich. Sehr chaotisch wurde auch die neue Sicherheitsfunktion namens Certificate Transparency implementiert, mehr Informationen zu der neuen Funktion im Chrome gibt es im Artikel Certificate transparency - neue Sicherheitsfunktion von Google .
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de