Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Künftig alle Wosign-Zertifikate in Certificate Transparency

Die Vorfälle sind ohne Zweifel gravierend. Doch Wosign bemüht sich erkennbar darum, zumindest auf technischer Ebene gegen künftige Vorfälle vorzusorgen. Seit Kurzem werden alle neu ausgestellten Wosign-Zertifikate in Logs des Certificate-Transparency-Systems von Google eingetragen. Damit kann jeder überprüfen, für welche Domains Zertifikate ausgestellt werden. Auch alle Zertifikate, die im Jahr 2015 ausgestellt wurden, will Wosign in den Logs veröffentlichen.

Anzeige

Wosign-Zertifikate enthalten Signed Certificate Timestamps

Auch enthalten die Wosign-Zertifikate sogenannte Signed Certificate Timestamps (SCT). Dabei handelt es sich um signierte Bestätigungen eines Logs über die Zertifikatseintragung. Auch Startcom stattet seine Zertifikate seit einiger Zeit mit SCTs aus. Browser können damit Zertifikate von Wosign oder Startcom, die keine SCTs enthalten und jüngeren Datums sind, ablehnen.

Damit sind die beiden Zertifizierungsstellen beim Implementieren von Certificate Transparency sogar engagierter als Letsencrypt. Dort sind bislang keine SCTs in den Zertifikaten enthalten, obwohl trotzdem alle Zertifikate in die Logs eingetragen werden.

Über der ganzen Debatte schwebt natürlich implizit der Vorwurf, dass Wosign als chinesische Firma besonders verdächtig ist, mit staatlichen Stellen zusammenzuarbeiten. Doch bei allen Fällen handelt es sich offenbar um schlichte Bugs und keine bösartigen Angriffe. Eine weitere chinesische Zertifizierungsstelle, CNNIC, wurde nach Sicherheitsproblemen aus den gängigen Browsern ausgeschlossen.

Sicherheitslücken auch in westlichen Zertifizierungsstellen

Klar ist aber auch, dass gravierende Sicherheitslücken bei Zertifizierungsstellen in westlichen Staaten auch immer wieder auftauchen. Zuletzt gab es etwa bei Comodo ein Problem mit den Verifikations-E-Mails und einer HTML-Injection-Lücke. Symantec hatte im vergangenen Jahr eine ganze Reihe von Problemen, die dazu geführt hatten, dass Google die Zertifizierungsstelle zur Nutzung von Certificate Transparency zwang.

 Gehört Startcom jetzt Wosign?

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...

Kommentieren



Anzeige

Stellenmarkt
  1. STEMMER IMAGING GmbH, Puchheim bei München
  2. Robert Bosch GmbH, Leonberg
  3. MaibornWolff GmbH, München, Frankfurt am Main
  4. Bosch Thermotechnik GmbH, Wernau


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 399,00€ (Lieferung am 10. November)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starship Technologies: Es wird immer nach Diebstahl und Vandalismus gefragt
Starship Technologies
Es wird immer nach Diebstahl und Vandalismus gefragt
  1. Recore Mein Buddy, der Roboter
  2. Weltraumforschung DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  3. Softrobotik Oktopus-Roboter wird mit Gas angetrieben

PES 2017 im Test: Vom Feeling her ein gutes Gefühl
PES 2017 im Test
Vom Feeling her ein gutes Gefühl

Classic Computing 2016: Wie Nordhorn für ein Wochenende zu Nerdhome wurde
Classic Computing 2016
Wie Nordhorn für ein Wochenende zu Nerdhome wurde
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Feuerwerkwettbewerb Pyronale 2016 Erst IT macht prächtige Feuerwerke möglich
  3. Flüge gecancelt Delta Airlines weltweit durch Computerpanne lahmgelegt

  1. 30 Sekunden Werbung für ein 4-min Video?!

    otraupe | 08:49

  2. Re: Apple Betaphase

    Pete Sabacker | 08:22

  3. Re: Mein Sennheiser mit Audio Jack/Klinke

    css_profit | 08:20

  4. Re: Batterie betriebene kleinste Rakete der Welt

    ChristianKG | 08:07

  5. Re: Was ist eigentlich mit ALT-Geräten?

    ArcherV | 07:55


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel