SSL: Warum kriege ich kein grünes Schloss bei Google Chrome?

Ab Version 39 sind gelbe und rote Schlösser bei verschlüsselten Seiten häufiger geworden. Nur: warum eigentlich?

Kurze Antwort: seit einigen Monaten bewertet Google auch, ob im SSL-Zertifikat sichere Hashalgorithmen verwendet werden. SHA1 darf seit über 10 Jahren als geknackt angenommen werden und soll schrittweise aus dem Verkehr gezogen werden. Da leider noch immer viele Webmaster SHA1-Zertifikate einsetzen, baut Google so Druck auf.

MD5, SHA1, SHA256 und andere böhmische Dörfer

Um Zertifikate zu validieren, werden Hashes benötigt. Diese Hashfunktionen sollten sicher sein, ansonsten wäre die SSL-Verschlüsselung sinnlos. Wenn der Algorithmus unsicher ist, kann jeder valide Zertifikate machen: Man-in-Middle-Attacken und Phishing-Angriffe wären dann problemlos machbar.

Früher wurde als Hashalgorithmus MD5 verwendet. Dies ist glücklicherweise Vergangenheit: MD5 kann durch Kollisionsangriffe leicht geknackt werden. MD5-Zertifikate werden schon seit einiger Zeit von verschiedenen Browsern geblockt.

Zwischenzeitlich wurde dann SHA1 verwendet. Jedoch kann auch dort davon ausgegangen werden, dass es bereits geknackt ist. Es gibt verschiedene Angriffskonzepte, die auf den bekannten mathematischen Schwachstellen von SHA1 basieren. Zahlreiche Konzerne einigten Sich auf eine Abschaffung von SHA1- bis Ende 2016, leider verwenden noch immer ca. 85 % der verschlüsselten Seiten SHA1 (Stand: September 2014).

Wenn man eine sichere Verschlüsselung haben möchte, so braucht man SHA-2, ein Oberbegriff für SHA-224, SHA-256, SHA-384 und SHA-512. Jedes moderne Betriebssystem + Browser beherrscht dies. Probleme bereitet lediglich Windows XP mit Internet Explorer oder Chrome. Wenn man allerdings ernsthaft überlegt, aufgrund von einem winzigen Anteil der Besucher alle anderen Besucher eine unsichere Seite auszuliefern, dann kann man SSL auch ganz lassen.

Und was sind Zertifikatketten?

Zertifikate funktionieren über Zertifikatketten. Grundkonzept ist folgendes: im Browser befindet sich ein sogenanntes Root-Zertifikat. Mit diesem werden Zwischenzertifikate signiert, und mit diesen Zwischenzertifikaten wiederum das persönliche Zertifikat für die spezifische Seite. Manchmal hat man kein einzigen Zwischenzertifikat, manchmal auch drei – das hängt von der Struktur des SSL-Anbieters ab.

Die Zertifikatkette von einem Chrome / Mac OS-X.
Die Zertifikatkette von einem Chrome / Mac OS-X.
Wichtig ist, dass jede einzelne Zwischenebene SHA-2 verwendet, damit ein Angreifer an keiner einzigen Stelle ansetzen kann. Nur beim Root-Zertifikat ist es egal, das Root-Zertifikat ist ja im Browser und wird von nichts mehr signiert.

Um herauszufinden, welche Zwischenzertifikate verwendet werden, lohnt sich ein Besuch bei SSL-Labs. Dort wird einem auch gleich angezeigt, ob SHA-1 oder SHA-2 Hashes verwendet wurden. Im Browser findet sich aber auch meist eine Anzeige der Zertifikatketten.

Wann bekomme ich nun ein gelbes Schloss bzw. ein Schloss mit Dreieck?

Das gelbe Schloss taucht dann auf, wenn … 1) das SSL-Zertifikat selbst oder ein Zwischenzertifikat den Hashalgorithmus SHA-1 verwendet und das Zertifikat im Jahr 2016 ausläuft. 2) auf der Seite Bilder, CSS-Dateien oder andere nichtkritische Ressourcen von nicht verschlüsselten Seiten geladen werden (z.B. Werbebilder). Diese Regel wird auch bei Formularen angewendet, wird ein Formular auf eine nichtverschlüsselte Seite abgeschickt, gibt es gelb.

Wann bekomme ich ein rotes Schloss bzw. ein Schloß mit rotem Kreuz und durchgestrichenem https?

Das rote Schloss taucht dann auf, wenn …

1) das SSL-Zertifikat selbst oder ein Zwischenzertifikat den Hashalgorithmus SHA-1 verwendet und das Zertifikat im Jahr 2017 oder später ausläuft.

2) auf der Seite Scripte oder andere kritische Ressourcen von nicht verschlüsselten Seiten geladen werden (z.B. Werbescripte).

Wann bekomme ich ein grünes Schloss?

Das grüne Schloß taucht dann auf, wenn …

1) Entweder das SSL-Zertifikat selbst oder ein Zwischenzertifikat den Hashalgorithmus SHA-1 verwendet und das Zertifikat im Jahr 2016 ausläuft oder in der gesamten Zertifikatkette SHA-2 Zertifikate verwendet werden.

2) es kein Mixed Content, d.h. Daten von nichtverschlüsselten Quellen gibt.

Wie komme ich an eine grüne Adresszeile?

Das ist noch einmal eine ganz andere Form des Zertifikates: sogenannte Extended Validation Zertifikate. Diese sind meist erheblich teurer, und der Sinn ist abseits des Marketingeffektes eher begrenzt. Die komplett grüne Adresszeile sagt also letztlich wenig darüber aus, wie sicher das SSL-Setup tatsächlich ist, es sagt nur aus, dass der SSL-Antragsteller sich einer Prüfung unterzogen hat, dass er wirklich er ist.

Abschluss

Ich hoffe, dass durch diese Gegenüberstellung ein wenig mehr Klarheit entstanden ist. Wenn Ihr Verbesserungsvorschläge habt oder möchtet, dass ich Eure Seite mal anschauen sollte, dann schreibt doch einfach einen Kommentar oder kontaktiert mich direkt!

4 Antworten zu “SSL: Warum kriege ich kein grünes Schloss bei Google Chrome?”

  1. bin seit jahren benutzer einer frei zugänglichen website „boxrec.com. seit kurzen
    behindert ein sperrschloss (rot durchgestrichen) meinen zugang. weiß jemand, wie
    man abhilfe schafft. danke EF

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.