Abo
  • Services:
Anzeige
Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

Die Certificate Authority Wosign hat am 7. Oktober einen Bericht [PDF] vorgelegt, um auf die zahlreichen Anschuldigungen von Mozilla und Apple zu reagieren. Ob der Bericht und die ergriffenen Maßnahmen ausreichen, um von der Entfernung aus Mozillas Root-Programm verschont zu bleiben, ist aber unklar.

Anzeige

Gegen Wosign waren zahlreiche Anschuldigungen erhoben worden. Unter anderem war es zeitweise möglich, gültige Zertifikate für github.com auszustellen, auch wenn die Antragssteller nur Kontrolle über eine Subdomain wie "projektname.github.com" hatten. Außerdem war dem Unternehmen vorgeworfen worden, Startcom übernommen zu haben, ohne dies öffentlich mitzuteilen.

Ein weiterer Kritikpunkt war die Vergabe rückdatierter SHA-1-Zertifikate. Zahlreiche Beobachter hatten vermutet, dass Wosign die Zertifikate absichtlich mit einem früheren Startdatum versehen hatte, damit diese auch von aktuellen Browsern akzeptiert werden, die keine neu ausgestellten SHA-1-Zertifikate mehr akzeptieren, da diese als unsicher gelten. Wosign widerspricht dieser Darstellung, vielmehr seien ein interner Systemfehler und Versäumnisse bei der Umstellung auf SHA-2 verantwortlich dafür, dass die entsprechenden Zertifikate ausgestellt wurden.

Alle Kunden, die ein solches SHA-1-Zertifikat erworben haben, können bei Wosign ein neues SHA-2-Zertifikat bekommen, das alte Zertifikat wird dann zurückgezogen. Dieses Angebot gibt es schon eine Weile, von den insgesamt 1.132 ausgestellten Zertifikaten seien aber erst 171 umgetauscht worden, wie Wosign schreibt. Es ist durchaus möglich, dass einige Kunden weiter bewusst auf SHA-1-Zertifikate setzen, weil gerade Entwicklungs- und Schwellenländer Betriebssysteme nutzen, die kein SHA-2 unterstützen. Auch in Firmennetzwerken mit MITM-Firewall und ähnlichen Antivirusprodukten kann es zu Problemen kommen. Inhaber der alten Zertifikate haben bis zum 31. Dezember 2016 Zeit, einen Umtausch zu beantragen - danach sollen alle Zertifikate automatisch zurückgezogen werden.

Wosign und Startcom sollen wieder getrennt werden

Ein weiterer Schritt ist die Trennung der beiden zusammengeführten CAs. Infrastruktur und Personal von Wosign und Startcom sollen künftig wieder getrennt geführt werden. Der Wosign-CEO Richard Wang muss seinen Posten aufgeben. Beide CAs werden dann einzeln von dem Investor Qihoo360 beaufsichtigt. Mitarbeiter von Qihoo sollen auch einen Codereview der beiden neuen CAs vornehmen. Startcom wird in Kürze einen eigenen Bericht mit Maßnahmen vorlegen.

Als einen weiteren Schritt hat Wosign bereits mehr als 200.000 Zertifikate auf die Server von Googles Certificate-Transparency-Server hochgeladen. Offenbar hat Wosign die Maßnahmen im Vorfeld bei einem Treffen mit Mozilla-Mitarbeitern diskutiert. Mozilla setzt also offenbar auf Dialog, Apple hingegen hat bereits Maßnahmen ergriffen - und das Cross-signierte Zertifikat von Wosign aus seinem Trust Store entfernt.


eye home zur Startseite
SJ 11. Okt 2016

In China ticken die Uhren halt etwas anders ;)

Themenstart

SJ 11. Okt 2016

Natürlich geht das mit LE

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. init AG, Karlsruhe
  2. Katholische Universität Eichstätt-Ingolstadt, Eichstätt
  3. BST eltromat International Leopoldshöhe GmbH, Bielefeld
  4. Kassenzahnärztliche Vereinigung Bayerns, München


Anzeige
Blu-ray-Angebote
  1. 109,00€
  2. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)
  3. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  2. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  3. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  4. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  5. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  6. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  7. Kein Internet

    Nach Windows-Update weltweit Computer offline

  8. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  9. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  10. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Seit zwei Wochen sehr zufrieden

    mfusel | 11:15

  2. Re: Der Hit ist doch aber der Nachtrag

    thinksimple | 11:08

  3. Re: Thema verfehlt

    hg (Golem.de) | 11:06

  4. Re: mit Linux...

    ernstl | 11:05

  5. Re: Schlechtester Artikel seit langem...

    hg (Golem.de) | 11:05


  1. 11:07

  2. 09:01

  3. 18:40

  4. 17:30

  5. 17:13

  6. 16:03

  7. 15:54

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel