Camp Firefox

Die Firefox-Community

Die aktuelle Version von Firefox können Sie hier kostenlos herunterladen!

Mozilla entzieht WoSign und StartCom (StartSSL) das Vertrauen

Was sich bereits angedeutet hatte, ist nun offiziell: Mozilla wird den beiden Certificate Authorities (CAs) WoSign und StartCom (Betreiber von StartSSL) aufgrund verschiedener Vorfälle das Vertrauen entziehen. In Kraft tritt dies mit Firefox 51.

Mozilla hatte in den vergangenen Monaten zahlreiche Ungereimtheiten bei der chinesischen Certificate Authority (CA) WoSign entdeckt, unter anderem eine Rückdatierung von Zertifikaten, um die Datumsfrist zu umgehen, nach welcher CAs keine SHA1-Zertifikate nach dem 1. Januar 2016 mehr ausstellen durften. Außerdem wurde die Übernahme der CA StartCom, welche unter anderem für StartSSL bekannt ist, verheimlicht, obwohl die Mozilla-Richtlinien dies zwingend verlangen. Die Übernahme wurde sogar solange bestritten, bis Mozilla schließlich die Nutzung gemeinsamer Infrastruktur nachweisen konnte. Dies waren nur zwei Beispiele; Die Liste der Probleme mit WoSign ist lang und kann im Mozilla Wiki sowie in einem 13-seitigen von Mozilla verfassten Dokument im Detail nachgelesen werden.

WoSign hat in der Zwischenzeit reagiert und unter anderem bekannt gegeben, dass WoSign und StartCom wieder getrennt werden, auch musste der CEO von WoSign seinen Posten räumen. Verhindern konnte WoSign damit allerdings nicht den Entzug des Vertrauens. Nachdem Apple bereits Ende September bekannt gegeben hat, WoSign das Vertrauen in macOS und iOS zu entziehen, macht nun auch Mozilla ernst.

Mozilla wird voraussichtlich am 24. Januar 2017 Firefox 51 veröffentlichen. Dann wird der Mozilla-Browser keine WoSign- oder StartCom-Zertifikate mehr akzeptieren, welche nach dem 21. Oktober 2016 ausgestellt worden sind. Die bereits identifizierten rückdatierten Zertifikate werden über Mozillas OneCRL-Infrastruktur für ungültig erklärt. Die entsprechenden Root-Zertifikate sollen zu einem nocht nicht bestimmten Zeitpunkt in der Zukunft entfernt werden, entweder in Absprache mit den CAs, sollten diese sich erneut für Mozillas CA-Programm bewerben und angenommen werden, ansonsten irgendwann frühestens ab März 2017. Sollten weitere Rückdatierungen bemerkt werden, werden die Root-Zertifikate umgehend entfernt werden. Außerdem wird Mozilla nicht länger Audits akzeptieren, welche von Ernst & Young Hong Kong durchgeführt wurden. Mozilla behält sich das Recht vor, weitere Schritte zu unternehmen.

Beide CAs dürfen sich neu für Mozillas CA-Programm bewerben, müssen dafür aber einige Auflagen erfüllen (#1311824 für WoSign und #1311832 für StartCom). Unter anderem muss StartCom nachweisen, dass WoSign keine Kontrolle  – weder Code noch Personal – mehr über StartCom hat, WoSign darf sich außerdem nicht früher als am 1. Juni 2017 neu bewerben.


Update 01.11.2016
Auch Google hat nun bekannt gegeben, WoSign und StartCom das Vertrauen zu entziehen.

Der Beitrag Mozilla entzieht WoSign und StartCom (StartSSL) das Vertrauen erschien zuerst auf soeren-hentzschel.at.

Diese Website verwendet zur Verbesserung des Angebotes Cookies. Wenn Sie weiter auf der Seite bleiben, stimmen Sie der Cookie-Nutzung zu.
Weitere Informationen OK