Einleitungsseite » Interessantes über SSL » Programmfehler in der NSS-Bibliothek im Chrome Browser

Programmfehler in der NSS-Bibliothek verursacht eine falsche Fehlermeldung in Chrome

(12. 2. 2015) Der Chrome Browser zeigt eine falsche Fehlermeldung wegen eines Bug in der NSS-Bibliothek, welche von der Linuxversion von Chrome und Firefox (hier gibt es keine Fehlermeldung) verwendet wird.

SHA-1-Algorithmus des Intermediate-Zertifikats in Chrome wird falsch markiert

Das Problem wird von einem Bug in der NSS-Bibliothek verursacht, welche unter Linux in Chrome und Firefox für die Verschlüsselung bestimmt ist. Die Bibliothek wählt das sog. "Legacy Chain" zum Wurzelzertifikat beim Handshake in einigen Fällen automatisch.

Dadurch kommt es dazu, dass man 4 statt 3 Zertifikate in der Kette sehen kann und das Wurzelzertifikat als Intermediate-Zertifikat dargestellt wird, Chrome sieht dies automatisch als Fehler an. Der Browser zeigt die Fehlermeldung, wegen des SHA-1-Algorithmus im Chain. Es ist wichtig zu wissen, dass alle Root-Zertifikate noch mit SHA-1 ausgestellt werden und kein anderer Browser den Fehler zeigt.

Die Anwendung von zwei "Wegen" zum Root-Zertifikat ist aber normalerweise in Ordnung, die Zertifizierungsstelle erlauben das dank sog. "cross-signed" Intermediate-Zertifikaten, welche mit mehreren Root-Zertifikaten zusammenarbeiten können.

Chyba NSS v Chrome na linuxu

Das Root-Zertifikat mit SHA-1 wird als Intermediate-Zertifikat unter Linux im Chrome Browser angenommen

Übliche Browser prüfen den Algorithmus der Root-Zertifikate nicht, da sie sog. Selfsigned-Zertifikaten sind, dh. der SHA-1-Algorithmus in Root-Zertifikaten muss Ihnen keine Sorgen machen.

Wie kann man das Problem lösen?

Die Lösung ist ganz klar - man sollte die Lücke in der NSS-Bibliothek beheben und den Browsern helfen, die Chains der SSL-Zertifikate richtig zu verstehen. In Zukunft kommen die Root-Zertifikate mit den SHA-2-Algorithmus, trotzdem wird das Problem mit dem"legacy" Chain nicht gelöst; das wird sicher bleiben. Der Webbetreiber kann dagegen leider nichts tun.

Google ist zu aktiv und das scheint kontraproduktiv zu sein

In den letzten Monaten werden Browsers eher quantitativ als qualitativ weiter entwickelt. Google bereitet eine nicht geplante Überraschung in jeder neuen Chrome Version vor, die Sicherheitsmeldungen des Chrome Browsers sind in jeder Version unterschiedlich. Sehr chaotisch wurde auch die neue Sicherheitsfunktion namens Certificate Transparency implementiert, mehr Informationen zu der neuen Funktion im Chrome gibt es im Artikel Certificate transparency - neue Sicherheitsfunktion von Google .

Kommentar einfügen

Rot markierte Felder sind Pflichtfelder.


Rubriken

  • Hauptseite
  • Neuigkeiten vom SSLmarket
  • Sicherheit
  • Interessantes über SSL
  • Anleitungen
  • Spezialserien

  • Verschlüsselte Verbindung mit OpenVPN
  • Zwei-Faktor-Authentifizierung
  • Folgen Sie uns

  • Magazin RSS-ChannelRSS
  • SSLmarket auf Facebook
  • SSLmarket Twitter
  • SSLmarket Google+
  • Kontakt
  • SSL zertifikat vom SSLmarket.de