Domain HTTPS: Domainzertifikate teilweise unsicher!

29. Oktober 2016 | Von | Kategorie: Domain News, Domain Sicherheit

Browser akzeptieren Zertifikate von WoSign und StartCom nicht mehr

Nach mehreren Unregelmäßigkeiten und entsprechenden Verwarnungen werden Google, Mozilla und Apple in naher Zukunft keine SSL/TLS-Zertifikate mehr akzeptieren, die von den CA WoSign und StartCom ausgegeben wurden. Diese Entscheidung wurde aufgrund einer Untersuchung von Mozilla getroffen, bei der gleich mehrere Verstöße gegen Richtlinien festgestellt wurden.

WoSign im Fokus der Browserhersteller
Vor allem die chinesische CA WoSign ist mehrfach negativ aufgefallen. So kaufte das Unternehmen Quihoo 360 , Besitzer von WoSign, im November 2015 anonym die CA StartCom und informierte Mozilla nicht über diese Übernahme. Auf Nachfragen stritt WoSign den Kauf ab, bis Mozilla den Nachweis erbrachte, dass beide CA mit durch die absolut gleiche Infrastruktur verbunden sind. Erst dann gab WoSign die Übernahme öffentlich zu.

Bedenklich ist auch , dass WoSign in mindestens 64 Fällen die Zertifikate vor 2015 zurückdatiert hatte, um die Erstellung unter dem SHA1-Algorithmuszu verschleiern. Zudem war die Laufzeit der Zertifikate überdatiert. Der SHA1-Algorithmus soll seit Anfang Januar 2015 nicht mehr verwendet werden, da er mangelnde Sicherheitsfunktionen enthält.

Bei der Validierung von Domains wurden der CA ebenfalls mehrfach Fehler nachgewiesen. Sogenannte unberechtigte Personen konnten sich in einem Test mehrere Zertifikate für die Domains github.com, github.io und www.github.io ausstellen lassen.

Besitzer der CA reagiert zu spät
Das chinesische Unternehmen Quihoo 360 hat jetzt auf die Vorwürfe und Untersuchungsergebnisse reagiert und in einem ersten schritt den WoSign CEO Richard Wang entlassen. In einem zweiten schritt sollen laut Unternehmen die beiden CA WoSign und StartCom als Unternehmen getrennt werden und unabhängig arbeiten.

Für Mozilla kommen diese Aktionen zu spät. Der neue Firefox 5.1, der Anfang 2017 erscheint, wird alle rückdatierten Zertifikate und auch neue Zertifikate mit Ausstellungsdatum ab 21. Oktober 2016 und Aussteller WoSign und StartCom nicht mehr akzeptieren. Dieser Maßnahme haben sich auch Google mit dem neuen Browser Chrome 56 (ab Januar 2017) und Apple angeschlossen.

Sollte Quihoo 360 versuchen, die angeordneten Sperren zu unterlaufen, werden die Root Zertifikate endgültig entfernt. Wenn die beiden CA allerdings die geforderten vollständig Auflagen erfüllen, können sie ab Juli 2017 wieder Aufnahmeanträge für die Zertifikatsprogramme stellen und so das Vertrauen der Browserhersteller wieder erlangen.

 

Schreibe einen Kommentar