Browserhersteller monieren Manipulationen Apple, Google & Mozilla misstrauen WoSign und StartCom
Drei Hersteller entziehen den CAs WoSign und StartCom das Vertrauen. Ausgegebene Zertifikate werfen in den Browsern künftig Fehlermeldungen aus. Wer Zertifikate dieser beiden Ausgabestellen in seinen Webseiten oder Applikationen nutzt, sollte sich demnächst Alternativen suchen.
Anbieter zum Thema

Die Zertifikatherausgeber WoSign und StartCom wurden von Apple, Google und Mozilla auf eine schwarze Liste gesetzt. Zertifikaten, die nach dem 21. Oktober 2016 ausgestellt werden, wird demnächst nicht mehr vertraut. Die Änderungen werden im Rahmen von Chrome 56, Firefox 51 sowie einem Sicherheitsupdate für Mac OS und iOS umgesetzt. Nutzer, die auf eine Seite mit einem Zertifikate von WoSign oder StartCom surfen, erhalten eine entsprechende Fehlermeldung.
Was steckt dahinter?
Beim chinesischen Zertifikatherausgeber WoSign kam es zu einer ganzen Reihe von Unregelmäßigkeiten bei der Ausgabe von Zertifikaten. Das Unternehmen vergibt freie SSL-Zertifikate, nimmt es aber scheinbar bei der Kontrolle nicht so genau. Das führte unter anderem dazu, dass sich ein Nutzer ein gültiges Zertifikat für Github.io generieren konnte, ohne dass er irgendetwas mit Github zu tun hatte.
Außerdem erwischte Mozilla die CA dabei, wie sie die Ausgabedaten für SHA-1 SSL-Zertifikate zurückdatierte. Dieser Standard gilt als nicht mehr sicher, seit dem ersten Januar 2016 sollten CAs deswegen nur noch SSL-Zertifikate ausgeben, die mittels SHA-2 signiert wurden.
Und StartCom?
Das israelische Zertifikatsunternehmen StartCom ist ebenfalls auf der schwarzen Liste gelandet. Das liegt vor allem daran, dass WoSign das Unternehmen gekauft hat, ohne dies transparent zu machen. Laut dem Google Blog wurden Infrastruktur, Personal und Ausgabesystem durch das von WoSign ersetzt. Als Mozilla das Unternehmen darauf ansprach, versuchten man es dort mit Ausflüchten und gab an, dass "nichts gemeldet werden müsse". Mozilla, Google und Apple sehen dagegen ein regelwidriges Verhalten, das zusammen mit den länger bekannten technischen Schlampereien zum Ausschluss der beiden CAs führte.
Was müssen Verantwortliche tun?
Grundsätzlich sollten sich IT-Verantwortliche, die WoSign- oder StartCom-Zertifikate verwenden, schnellstmöglich nach einer Alternative umsehen. Kostenlose Zertifikate gibt es etwa über Let’s Encrypt, auch wenn hier keine Wildcard-Zertifikate möglich sind. Falls Zertifikate vor dem 19. September 2016 vom Certificate Transparency Projekt registriert wurden, behalten sie ihre Gültigkeit – zumindest solange sie nicht ablaufen oder vom Besitzer zurückgezogen werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017622/original.jpg)
Gratis-SSL-Zertifikat in der Praxis
Wordpress-Website mit Let‘s Encrypt verschlüsseln
(ID:44364771)