5 Reaktionen

Mozilla entzieht WoSign und StartCom (StartSSL) das Vertrauen

Geschätzte Lesedauer:

Was sich bereits angedeutet hatte, ist nun offiziell: Mozilla wird den beiden Certificate Authorities (CAs) WoSign und StartCom (Betreiber von StartSSL) aufgrund verschiedener Vorfälle das Vertrauen entziehen. In Kraft tritt dies mit Firefox 51.

Mozilla hatte in den vergangenen Monaten zahlreiche Ungereimtheiten bei der chinesischen Certificate Authority (CA) WoSign entdeckt, unter anderem eine Rückdatierung von Zertifikaten, um die Datumsfrist zu umgehen, nach welcher CAs keine SHA1-Zertifikate nach dem 1. Januar 2016 mehr ausstellen durften. Außerdem wurde die Übernahme der CA StartCom, welche unter anderem für StartSSL bekannt ist, verheimlicht, obwohl die Mozilla-Richtlinien dies zwingend verlangen. Die Übernahme wurde sogar solange bestritten, bis Mozilla schließlich die Nutzung gemeinsamer Infrastruktur nachweisen konnte. Dies waren nur zwei Beispiele; Die Liste der Probleme mit WoSign ist lang und kann im Mozilla Wiki sowie in einem 13-seitigen von Mozilla verfassten Dokument im Detail nachgelesen werden.

WoSign hat in der Zwischenzeit reagiert und unter anderem bekannt gegeben, dass WoSign und StartCom wieder getrennt werden, auch musste der CEO von WoSign seinen Posten räumen. Verhindern konnte WoSign damit allerdings nicht den Entzug des Vertrauens. Nachdem Apple bereits Ende September bekannt gegeben hat, WoSign das Vertrauen in macOS und iOS zu entziehen, macht nun auch Mozilla ernst.

Mozilla wird voraussichtlich am 24. Januar 2017 Firefox 51 veröffentlichen. Dann wird der Mozilla-Browser keine WoSign- oder StartCom-Zertifikate mehr akzeptieren, welche nach dem 21. Oktober 2016 ausgestellt worden sind. Die bereits identifizierten rückdatierten Zertifikate werden über Mozillas OneCRL-Infrastruktur für ungültig erklärt. Die entsprechenden Root-Zertifikate sollen zu einem noch nicht bestimmten Zeitpunkt in der Zukunft entfernt werden, entweder in Absprache mit den CAs, sollten diese sich erneut für Mozillas CA-Programm bewerben und angenommen werden, ansonsten irgendwann frühestens ab März 2017. Sollten weitere Rückdatierungen bemerkt werden, werden die Root-Zertifikate umgehend entfernt werden. Außerdem wird Mozilla nicht länger Audits akzeptieren, welche von Ernst & Young Hong Kong durchgeführt wurden. Mozilla behält sich das Recht vor, weitere Schritte zu unternehmen.

Beide CAs dürfen sich neu für Mozillas CA-Programm bewerben, müssen dafür aber einige Auflagen erfüllen (#1311824 für WoSign und #1311832 für StartCom). Unter anderem muss StartCom nachweisen, dass WoSign keine Kontrolle  – weder Code noch Personal – mehr über StartCom hat, WoSign darf sich außerdem nicht früher als am 1. Juni 2017 neu bewerben.

Update 01.11.2016
Auch Google hat nun bekannt gegeben, WoSign und StartCom das Vertrauen zu entziehen.
Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

4 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. 7ero
    schrieb am :

    Ich finde es gut, auf der anderen Seite weiss ich leider nicht woher man nun güstige Wildcard Certifikate bekommen.

     

    PS:  Chrome wirft die beiden auch raus in Version 56.

    "Beginning with Chrome 56, certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC will not be trusted. "

    https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

  2. Christian T
    schrieb am :

    Ich finde es gut, auf der anderen Seite weiss ich leider nicht woher man nun güstige Wildcard Certifikate bekommen.

     

    Es gibt genügend Alternativen, eine ist auf jeden Fall Let’s Encrypt, viele der "großen" Zertifizierungsstellen bieten auch schon günstig Zertifikate an.

     

    Und ein Satz zu WoSign, versucht zu Betrügen, gehört Sanktioniert, auch wenn das auch im schlimsten Fall das aus für die Zertifizierungsstelle bedeuten könnte, wer kauft schon ein Zertifikat, das kein Browser vertraut.

    Aber Es gibt dort ja schon konsequenzen, ein Chef musste gehen und die beiden Stellen sollen getrennt bleiben.

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Christian T:

    Es gibt genügend Alternativen, eine ist auf jeden Fall Let’s Encrypt, viele der "großen" Zertifizierungsstellen bieten auch schon günstig Zertifikate an.

    Let's Encrypt bietet keine Wildcard-Zertifikate an, um welche es 7ero ging. Es gibt derzeit auch keine öffentlich kommunizierten Pläne, dies anzubieten.

    @7ero:

    PS:  Chrome wirft die beiden auch raus in Version 56.

    Stimmt, habe ich heute Morgen per Twitter gelesen. Werde ich im Artikel noch ergänzen.

  4. schrieb am :

    Let's Encrypt bietet keine Wildcard-Zertifikate an, um welche es 7ero ging. Es gibt derzeit auch keine öffentlich kommunizierten Pläne, dies anzubieten.

    Zwar keine Wildcard-Zertifikate, aber man kann einfach ein Zertifikat erzeugen das alle Subdomains abdeckt. Ok, man muss dies erneut tun wenn eine dazu kommt, aber das kann man bestimmt automatisieren.

    Da kann man sich bestimmt auch gut von den Uberspace-Scripten inspirieren lassen.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.