Login
Newsletter
Werbung

Di, 25. Oktober 2016, 13:39

Software::Browser

Mozilla entzieht WoSign- und StartCom-Zertifikaten das Vertrauen

Wegen Betrügereien mit Webserver-Zertifikaten hat Mozilla WoSign und deren Tochterfirma StartCom das Vertrauen entzogen. Firefox-Benutzer werden künftig Webseiten mit diesen Zertifikaten nicht mehr ohne weiteres erreichen.

Mozilla

Schon im September hatte Mozilla den Fall der gefälschten Zertifikate von WoSign und StartCom untersucht und deren Entfernung aus der Liste der vertrauenswürdigen Zertifizierungsstellen angedroht. Wie Mozilla jetzt mitteilt, wird die Maßnahme mit Firefox 51 umgesetzt. Die Gründe dafür liegen im betrügerischen Verhalten der beiden Zertifizierungsstellen, die laut Mozilla dreiste Züge angenommen hat. Andere Browser-Hersteller haben bereits dasselbe getan oder werden entsprechend verfahren.

Laut Mozilla ist klar, dass WoSign SSL-Zertifikate rückdatiert hat, um auch nach dem offiziellen Schlusstermin noch Zertifikate mit SHA-1-Signatur ausstellen zu können. Zwar ist SHA-1 mit 160 Bit aktuell noch sicher, doch wurden bereits Methoden gefunden, die die Sicherheit von SHA-1 reduzieren, und weitere Fortschritte bei diesen Methoden könnten SHA-1 bald komplett erledigen. SHA-2 gilt mit 256 bis 512 Bit dagegen noch als sehr sicher.

WoSign hatte außerdem StartCom gekauft und dies nicht, wie in den Mozilla-Richtlinien vorgeschrieben, bekannt gegeben, ja auf erste Anfragen hin sogar abgestritten.

Die Konsequenz ist nun, dass Mozilla mit Firefox 51 die bekannten betrügerischen Zertifikate aussperrt. Zertifikate, deren notBefore-Datum nach dem 21. Oktober 2016 liegt und die mit bestimmten Root-Zertifikaten erzeugt wurden, werden nicht mehr vertrauenswürdig sein. Mozilla droht nun außerdem damit, dass es alle betroffenen Root-Zertifikate entfernt, wenn der Betrug weitergehen sollte. Die betroffenen Zertifikate werden zudem auf die Widerrufsliste gesetzt, was sie für ungültig erklärt.

Mozilla wird künftig außerdem keine Audits mehr akzeptieren, die von der Firma Ernst & Young Hong Kong durchgeführt werden. WoSign und StartCom erhalten allerdings die Möglichkeit, neue Root-Zertifikate (allerdings mit neuem Namen) zu erzeugen und sie wieder in Mozillas Liste der vertrauenswürdigen Root-Zertifikate aufnehmen zu lassen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung