Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Gehört Startcom jetzt Wosign?

Ein weiterer Vorfall offenbart einige Fragen zum Verhältnis von Wosign und der ebenfalls kostenlosen israelischen Zertifizierungsstelle Startcom. Offenbar war es möglich, durch das Ändern eines Parameters in der URL über das Interface von Startencrypt, einem neuen Service von Startcom, ein von Wosign signiertes Zertifikat auszustellen. Zur Erinnerung: Startencrypt stand selbst kürzlich wegen heftiger Sicherheitslücken in der Kritik.

Anzeige

Dazu kam jedoch, dass diese Zertifikate zum einen eine SHA-1-Signatur trugen und zum anderen zurückdatiert wurden. Seit Januar 2015 ist die Ausstellung von Zertifikaten mit dem problematischen SHA-1-Algorithmus nicht mehr erlaubt. Einige Browser haben daher Mechanismen implementiert, die neuere Zertifikate mit SHA-1-Signatur nicht akzeptieren. Doch das Rückdatieren ermöglicht es, diese Mechanismen zu umgehen.

Bug im System

Laut Wosign handelte es sich jedoch hier nicht um einen bewussten Versuch, Zertifikate rückzudatieren, es sei lediglich ein Bug im System gewesen. Nur zwei Testzertifikate wurden darüber ausgestellt.

Der Vorfall zeigt, dass Wosign und Startcom offenbar teilweise dieselbe Infrastruktur nutzen. Bekannt ist, dass Wosign seit längerem ein Intermediate-Zertifikat nutzt, das von Startcom signiert ist. Das hat schlicht den Grund, dass noch nicht alle Browser das Wosign-Zertifikat direkt akzeptieren und ist zunächst nicht unüblich.

Doch scheinbar haben Wosign und Startcom inzwischen denselben Besitzer. Itzhak Daniel, ein ehemaliger Mitarbeiter von Startcom, berichtet auf einer Webseite darüber, dass die Zertifizierungsstelle inzwischen einer Startcom CA Limited gehöre, die in Großbritannien gemeldet sei. Diese wiederum gehöre Richard Wang, dem CEO von Wosign. Ein Teil der Infrastruktur von Startcom wird inzwischen offenbar in China betrieben. Auf Nachfragen reagierte Startcom mit unklaren Antworten. "Ich denke, dass Firmen, die dafür zuständig sind, das Internet abzusichern, bei ihren Aktivitäten transparent sein sollen und es sollte klar sein, wer dahinter steht", schreibt Daniel.

Weiterhin meldete sich auf der Mozilla-Liste ein chinesischer IT-Sicherheitsforscher, der behauptete, ein Zertifikat für www.alicdn.com erhalten zu haben. Diese Domain wird von der chinesischen Firma Alibaba unter anderem für die Services von Taobao und Tmall genutzt. Dieses Zertifikat wurde erst im Juni 2016 ausgestellt. In dem Fall ist unklar, welche Sicherheitslücke dafür verantwortlich war, oder ob die Behauptung überhaupt stimmt. Gervase Markham bat den Poster dieser Mails, zu belegen, dass er im Besitz des privaten Schlüssels für dieses Zertifikat sei, bislang ist dies nicht passiert. Aliyun, ebenfalls eine zu Alibaba gehörende Firma, hat seit einiger Zeit eine Kooperation mit Wosign. Insofern handelt es sich möglicherweise um ein legitim ausgestelltes Zertifikat.

Versuchte Wosign, die Vorfälle zu vertuschen?

Laut Chrome-Entwickler Ryan Sleevi erfuhr Google von allen Vorfällen nicht von Wosign direkt, sondern von unabhängigen Sicherheitsforschern. Als Google klar wurde, dass andere Browserhersteller von Wosign über die Vorfälle nicht informiert wurden, gab man die Informationen an die Konkurrenten weiter. Das Verschweigen der Vorfälle ist ein klarer Verstoß gegen die Richtlinien der Browser. Demnach müssen alle Vorfälle, bei denen unberechtigt Zertifikate ausgestellt werden, gemeldet werden. Richard Wang gestand ein, dass es sich dabei um einen schweren Fehler handelte. Er führte jedoch an, dass die Richtlinien für Wosign oft aufgrund von Sprachbarrieren schwer zu verstehen seien.

 Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github ausKünftig alle Wosign-Zertifikate in Certificate Transparency 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  3. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  4. Porsche AG, Zuffenhausen


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Unfassbaren, Ghostbusters I & II, Jurassic World, Fast & Furious 7 Extended Version)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Begnadigung

    Danke, Chelsea Manning!

  2. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  3. Simplygon

    Microsoft reduziert 3D-Details

  4. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  5. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  6. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  7. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  8. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt

  9. Content-ID

    Illegale Porno-Hoster umgehen Youtube-Filter

  10. Wayland

    Google erstellt Gamepad-Support für Android in Chrome OS



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Milliarden für Elektroschrott?

    xProcyonx | 17:20

  2. Re: 50Hz/60Hz Umschaltung

    fccolonia10 | 17:18

  3. Re: Bahnhof ...

    Ach | 17:17

  4. Re: heh?

    css_profit | 17:16

  5. Re: Darf man eigentlich urheberrechliches...

    Moe479 | 17:14


  1. 17:23

  2. 17:07

  3. 16:53

  4. 16:39

  5. 16:27

  6. 16:13

  7. 16:00

  8. 15:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel