Infografik: Die Geschichte der Kryptographie
Der Nutzer darf entscheiden
Für Nutzer ist damit aber im Februar noch nicht der Besuch einer solchen Webseite mit SHA-1-Krypto ausgeschlossen. Zunächst wird Microsoft eine Umgehung dieses Sicherheitsmechanismus zulassen. Dem Anwender wird freigestellt, ob er diese Warnung annimmt oder ob er sie übergehen will und die schutzlose Seite dennoch besuchen möchte.Es geht dabei im Übrigen vorerst nicht um alle SHA-1-Zertifikate: "Dies wirkt sich nur auf SHA-1-Zertifikate aus, die mit einer vertrauenswürdigen Stammzertifizierungsstelle von Microsoft verknüpft sind. Manuell installierte Unternehmens- oder selbst signierte SHA-1-Zertifikate werden nicht beeinflusst, obwohl wir allen Kunden empfehlen, schnell zu SHA-256 zu migrieren", schreibt das Microsoft-Edge-Team im Windows-Blog.
Siehe auch: Microsoft veröffentlicht konkreten Fahrplan zum Ausstieg aus SHA-1
Für Entwickler hat Microsoft jetzt einen Test zur Verfügung gestellt, mit dem man sich anzeigen lassen kann, wie die Webbrowser ab Februar die eigenen Seiten anzeigen werden. Der Konzern signalisiert dann auch alle genauen Konsequenzen, die die Umstellung für Webseitenbetreiber haben wird.
Auch andere Unternehmen haben diesen konsequenten Schritt bereits eingeleitet oder teilweise schon umgesetzt. Vorreiter sind dabei Google und Mozilla als Anbieter der beliebtesten Webbrowser.
Mehr dazu: Es wird brenzlig: Microsoft wirft SHA-1 schon bald komplett raus