Browserhersteller monieren Manipulationen

Apple, Google & Mozilla miss­trauen WoSign und StartCom

| Autor / Redakteur: Moritz Jäger / Andreas Donner

Apple, Google und Mozilla vertrauen künftig den Zertifikaten von WoSign und StartCom nicht mehr.
Apple, Google und Mozilla vertrauen künftig den Zertifikaten von WoSign und StartCom nicht mehr. (Bild: TBIT - pixabay / CC0)

Drei Hersteller entziehen den CAs WoSign und StartCom das Vertrauen. Ausgegebene Zertifikate werfen in den Browsern künftig Fehlermeldungen aus. Wer Zertifikate dieser beiden Ausgabestellen in seinen Webseiten oder Applikationen nutzt, sollte sich demnächst Alternativen suchen.

Die Zertifikatherausgeber WoSign und StartCom wurden von Apple, Google und Mozilla auf eine schwarze Liste gesetzt. Zertifikaten, die nach dem 21. Oktober 2016 ausgestellt werden, wird demnächst nicht mehr vertraut. Die Änderungen werden im Rahmen von Chrome 56, Firefox 51 sowie einem Sicherheitsupdate für Mac OS und iOS umgesetzt. Nutzer, die auf eine Seite mit einem Zertifikate von WoSign oder StartCom surfen, erhalten eine entsprechende Fehlermeldung.

Was steckt dahinter?

Beim chinesischen Zertifikatherausgeber WoSign kam es zu einer ganzen Reihe von Unregelmäßigkeiten bei der Ausgabe von Zertifikaten. Das Unternehmen vergibt freie SSL-Zertifikate, nimmt es aber scheinbar bei der Kontrolle nicht so genau. Das führte unter anderem dazu, dass sich ein Nutzer ein gültiges Zertifikat für Github.io generieren konnte, ohne dass er irgendetwas mit Github zu tun hatte.

Außerdem erwischte Mozilla die CA dabei, wie sie die Ausgabedaten für SHA-1 SSL-Zertifikate zurückdatierte. Dieser Standard gilt als nicht mehr sicher, seit dem ersten Januar 2016 sollten CAs deswegen nur noch SSL-Zertifikate ausgeben, die mittels SHA-2 signiert wurden.

Und StartCom?

Das israelische Zertifikatsunternehmen StartCom ist ebenfalls auf der schwarzen Liste gelandet. Das liegt vor allem daran, dass WoSign das Unternehmen gekauft hat, ohne dies transparent zu machen. Laut dem Google Blog wurden Infrastruktur, Personal und Ausgabesystem durch das von WoSign ersetzt. Als Mozilla das Unternehmen darauf ansprach, versuchten man es dort mit Ausflüchten und gab an, dass "nichts gemeldet werden müsse". Mozilla, Google und Apple sehen dagegen ein regelwidriges Verhalten, das zusammen mit den länger bekannten technischen Schlampereien zum Ausschluss der beiden CAs führte.

Was müssen Verantwortliche tun?

Grundsätzlich sollten sich IT-Verantwortliche, die WoSign- oder StartCom-Zertifikate verwenden, schnellstmöglich nach einer Alternative umsehen. Kostenlose Zertifikate gibt es etwa über Let’s Encrypt, auch wenn hier keine Wildcard-Zertifikate möglich sind. Falls Zertifikate vor dem 19. September 2016 vom Certificate Transparency Projekt registriert wurden, behalten sie ihre Gültigkeit – zumindest solange sie nicht ablaufen oder vom Besitzer zurückgezogen werden.

Wordpress-Website mit Let‘s Encrypt verschlüsseln

Gratis-SSL-Zertifikat in der Praxis

Wordpress-Website mit Let‘s Encrypt verschlüsseln

10.05.16 - Let‘s Encrypt will die SSL-Verschlüsselung von Webseiten für jedermann verfügbar machen. Wie kompliziert HTTPS sich auf dem eigenen Blog einrichten und aktivieren lässt, hat unser Autor im Selbstversuch geprüft. Populäre Webhoster durften zudem ihre Meinung zu Let‘s Encrypt. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44364771 / Benutzer und Identitäten)