Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.681.728 Produkten

Ronald Eikenberg 171

Zertifikats-Schmu bei WoSign und StartCom: Mozilla macht Ernst

Zertifikats-Schmu bei WoSign: Mozilla macht ernst

Mozilla hat genug gesehen und entzieht den Zertifikats-Herausgebern WoSign und StartCom das Vertrauen. Zunächst sind nur bestimmte SSL-Zertifikate betroffen, langfristig müssen aber auch die Wurzelzertifikate dran glauben.

Mozillas Sicherheitsteam hat seine Schritte gegen die offenbar unsauber arbeitenden Zertifikats-Herausgeber (CA) WoSign und StartCom konkretisiert: Firefox wird ab Verson 51 keinen Zertifikaten der CAs mehr vertrauen, die nach dem 21. Oktober dieses Jahres gültig wurden. Langfristig will Mozilla auch den Wurzelzertifikaten der CAs das Vertrauen entziehen.

Anzeige

Bei der chinesischen CA WoSign traten in jüngster Vergangenheit mehrfach Unregelmäßigkeiten auf, die an der Vertrauenswürdigkeit des Herausgebers zweifeln lassen. So gelang es einem Admin etwa, sich ein gültiges Zertifikat für eine GitHub-Domain ausstellen zu lassen. WoSign hatte bei der Überprüfung gepatzt, ob der Admin tatsächlich die Kontrolle über die betroffene Domain hat. Diesen Vorfall meldete der Zertifikats-Herausgeber offenbar nicht an die Browser-Hersteller, von deren Gunst die CAs jedoch abhängig sind: Mozilla entscheidet etwa, welche CAs der Firefox-Browser als vertrauenswürdig einstuft. Wer es sich verscherzt, dessen Zertifikate sind nichts mehr wert, weil die Browser eine Sicherheitswarnung anzeigen, wenn sie auf Zertifikate nicht vertrauenswürdiger Herausgeber stoßen.

Erschwerend kam hinzu, dass sich WoSign geweigert haben soll, das falsche GitHub-Zertifikat und 32 weitere, die auf diese Weise ausgestellt wurden, für ungültig zu erklären. Eine weitere Ungereimtheit ist, dass WoSign Zertifikate zurückdatiert haben soll, um weiterhin das veraltete Hash-Verfahren SHA1 einsetzen zu können. SHA1-Zertifikate, die nach dem 1. Januar 2016 ausgestellt wurden, werden von den Clients nicht mehr als vertrauenswürdig eingestuft. Um dies zu umgehen, soll WoSign seine Uhren zurückgedreht und ein früheres Datum als "NotBefore"-Eigenschaft angegeben haben – dieser Wert legt fest, ab wann ein Zertifikat gültig ist.

Mozilla fand außerdem heraus, dass WoSign offenbar den Mitbewerber StartCom übernommen, aber dies nicht kommuniziert hatte, obwohl Mozillas Richtlinien dies vorgeben. Laut Mozilla stritten beide CAs die Übernahme ab, bis Mozilla genügend Beweise zusammengetragen hatte.

In erster Konsequenz wird Mozilla nun allen Zertifikaten der beiden CAs das Vertrauen entziehen, die mit einem Gültigkeitsdatum nach dem 21. Oktober versehen sind. Zudem landen die bereits als zurückdatiert identifizierten Zertifikate auf der von Firefox genutzten Sperrliste OneCRL. Kommen weitere Rückdatierungen ans Tageslicht, will Mozilla den Wurzelzertifikaten der CAs umgehend das Vertrauen entziehen.

Langfristig ist dieser Schritt ohnehin geplant: entweder in Absprache mit den CAs, die an Tag X neue Wurzelzertifikate einsetzen können oder auch im Alleingang ab März 2017. Damit die neue CAs neue Wurzelzertifikate in Mozillas Zertifikatsspeicher platzieren können, müssen sie sich um die Wiederaufnahme bewerben und belegen, dass sie alle Auflagen der Mozilla CA Certificate Policy erfüllen. Ferner wird Mozilla keine Security-Audits der Firma Ernst & Young Hong Kong mehr akzeptieren, deren Dienste WoSign in Anspruch genommen hatte.

Apple hatte WoSign und StartCom bereits vor drei Wochen das Vertrauen entzogen. Unterdessen wurde bei den CAs die Führungsspitze entlassen. Die Mutterfirma Qihoo 360 gab zudem bekannt, dass die beiden CAs strikt voneinander getrennt werden sollen – sowohl in puncto Personal als auch in puncto Infrastruktur. (rei)

171 Kommentare

Themen:

Anzeige
  1. Google Chrome vertraut StartCom- und WoSign-Zertifikaten nicht mehr

    Google Chrome vertraut StartCom- und WoSign-Zertifiakten nicht mehr

    Die noch für diesen Monat angekündigte Beta-Version von Chrome soll den von StartCom und WoSign ausgestellten Zertifikaten nicht mehr vertrauen.

  2. Zertifizierungsstelle StartCom: Eigentümer zieht den Stecker

    Zertifizierungsstelle StartCom: Eigentümer zieht den Stecker

    StartCom will ab Anfang kommenden Jahres keine neuen Zertifikate mehr ausgeben. Angesichts des vorangegangenen Vertrauensentzugs durch die gängigsten Browser überrascht diese Ankündigung allerdings wenig.

  3. Microsoft verbannt Zertifikate von StartCom und WoSign aus Windows 10

    Microsoft verbannt Zertifikate von StartCom und WoSign aus Windowns 10

    Nach Apple, Google und Mozilla vertraut auch Microsoft den chinesischen Zertifizierungsstellen nicht mehr.

  4. Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Google tadelt abermals Symantec als Zertifizierungsstelle. Als erstes soll Chrome nun Zertifikate herabstufen. Als längerfristiges Ziel ist sogar eine Annullierung vorgesehen. Symantec findet das verantwortungslos.

  1. Zertifikate sperren - so geht's

    Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

  2. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  3. Chrome blockt Zertifikate mit Common Name

    Chrome blockt Zertifikate mit Common Name

    Wenn der seit Jahren etablierte, hauseigene Dienst plötzlich den HTTPS-Zugang verwehrt, liegt das vermutlich an einer Neuerung der aktuellen Chrome-Version: Google erzwingt den Einsatz der RFC-konformen "Subject Alt Names" und viele Admins müssen deshalb jetzt Hand anlegen.

  1. Nun auch in Deutschland: Microsoft Classic IntelliMouse für 40 Euro bestellbar

    Nun auch in Deutschland: Microsoft Classic IntelliMouse für 40 Euro erhältlich

    Microsoft bringt seine Microsoft Classic Intellimouse nun auch in Deutschland auf den Markt.

  2. Honda CB 1000 R

    CB 1000 R

    Honda hatte ein Jahr lang das Naked Bike CB 1000 R aus dem Programm genommen, was bei den Fans für Unruhe sorgte. Die Nachfolgerin versöhnt beim ersten Anblick, das Design ist eine interessante Mischung aus modernen Formen und klassischen Elementen. Dazu bekam der Vierzylinder 20 PS mehr

  3. Selbstleuchtendes OLED-Garn

    Selbstleuchtendes OLED-Garn

    Bislang bestand selbstleuchtende Kleidung aus Stoff, auf dem kleine Dioden oder Leuchtplatten befestigt wurden. Am koreanischen Forschungsinstitut KAIST haben Forscher nun ein OLED-Garn entwickelt, das sich direkt einweben lässt.

  4. Amazon Echo Spot kommt diesen Monat nach Deutschland

    Amazon Echo Spot in Schwarz und Weiß

    Amazon bringt den Echo Spot mit kreisrundem Farb-Display in diesem Monat in Deutschland auf den Markt. Der smarte Lautsprecher ist ab sofort für 130 Euro vorbestellbar.

Anzeige