Abo
  • Services:
Anzeige
Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

Die Certificate Authority Wosign hat am 7. Oktober einen Bericht [PDF] vorgelegt, um auf die zahlreichen Anschuldigungen von Mozilla und Apple zu reagieren. Ob der Bericht und die ergriffenen Maßnahmen ausreichen, um von der Entfernung aus Mozillas Root-Programm verschont zu bleiben, ist aber unklar.

Anzeige

Gegen Wosign waren zahlreiche Anschuldigungen erhoben worden. Unter anderem war es zeitweise möglich, gültige Zertifikate für github.com auszustellen, auch wenn die Antragssteller nur Kontrolle über eine Subdomain wie "projektname.github.com" hatten. Außerdem war dem Unternehmen vorgeworfen worden, Startcom übernommen zu haben, ohne dies öffentlich mitzuteilen.

Ein weiterer Kritikpunkt war die Vergabe rückdatierter SHA-1-Zertifikate. Zahlreiche Beobachter hatten vermutet, dass Wosign die Zertifikate absichtlich mit einem früheren Startdatum versehen hatte, damit diese auch von aktuellen Browsern akzeptiert werden, die keine neu ausgestellten SHA-1-Zertifikate mehr akzeptieren, da diese als unsicher gelten. Wosign widerspricht dieser Darstellung, vielmehr seien ein interner Systemfehler und Versäumnisse bei der Umstellung auf SHA-2 verantwortlich dafür, dass die entsprechenden Zertifikate ausgestellt wurden.

Alle Kunden, die ein solches SHA-1-Zertifikat erworben haben, können bei Wosign ein neues SHA-2-Zertifikat bekommen, das alte Zertifikat wird dann zurückgezogen. Dieses Angebot gibt es schon eine Weile, von den insgesamt 1.132 ausgestellten Zertifikaten seien aber erst 171 umgetauscht worden, wie Wosign schreibt. Es ist durchaus möglich, dass einige Kunden weiter bewusst auf SHA-1-Zertifikate setzen, weil gerade Entwicklungs- und Schwellenländer Betriebssysteme nutzen, die kein SHA-2 unterstützen. Auch in Firmennetzwerken mit MITM-Firewall und ähnlichen Antivirusprodukten kann es zu Problemen kommen. Inhaber der alten Zertifikate haben bis zum 31. Dezember 2016 Zeit, einen Umtausch zu beantragen - danach sollen alle Zertifikate automatisch zurückgezogen werden.

Wosign und Startcom sollen wieder getrennt werden

Ein weiterer Schritt ist die Trennung der beiden zusammengeführten CAs. Infrastruktur und Personal von Wosign und Startcom sollen künftig wieder getrennt geführt werden. Der Wosign-CEO Richard Wang muss seinen Posten aufgeben. Beide CAs werden dann einzeln von dem Investor Qihoo360 beaufsichtigt. Mitarbeiter von Qihoo sollen auch einen Codereview der beiden neuen CAs vornehmen. Startcom wird in Kürze einen eigenen Bericht mit Maßnahmen vorlegen.

Als einen weiteren Schritt hat Wosign bereits mehr als 200.000 Zertifikate auf die Server von Googles Certificate-Transparency-Server hochgeladen. Offenbar hat Wosign die Maßnahmen im Vorfeld bei einem Treffen mit Mozilla-Mitarbeitern diskutiert. Mozilla setzt also offenbar auf Dialog, Apple hingegen hat bereits Maßnahmen ergriffen - und das Cross-signierte Zertifikat von Wosign aus seinem Trust Store entfernt.


eye home zur Startseite
SJ 11. Okt 2016

In China ticken die Uhren halt etwas anders ;)

SJ 11. Okt 2016

Natürlich geht das mit LE



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. Allianz Lebensversicherungs-AG, Stuttgart
  3. Trescal GmbH, Neustadt in Sachsen
  4. Evangelischer Oberkirchenrat Stuttgart, Stuttgart


Anzeige
Top-Angebote
  1. 59,90€ + 5,99€ Versand (Vergleichspreis 117€)
  2. 29,99€

Folgen Sie uns
       


  1. Streaming

    Netflix gewinnt weiter Millionen Neukunden

  2. Zusammenlegung

    So soll das Netz von O2 einmal aussehen

  3. Kohlendioxid

    Island hat ein Kraftwerk mit negativen Emissionen

  4. Definitive Edition

    Veröffentlichung von Age of Empires kurzfristig verschoben

  5. Elex im Test

    Schroffe Schale und postapokalyptischer Kern

  6. Raven Ridge

    HP bringt Convertible mit AMDs Ryzen Mobile

  7. Medion E6436 und P10602

    Preiswertes Notebook und Tablet bei Aldi Süd

  8. Smartphone mit KI

    Huawei stellt neues Mate 10 Pro für 800 Euro vor

  9. KRACK

    WPA2 ist kaputt, aber nicht gebrochen

  10. Medion Akoya E2228T

    280-Euro-Convertible von Aldi hat 1080p



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Geothermie...

    Ach | 05:49

  2. Was ist wenn meine Webseite Https erzwingt?

    GnomeEu | 05:35

  3. Re: Teslas Erfolg

    matzems | 05:12

  4. Re: Ach ja VW, die sind immer noch im Land der Träume

    Hannes84 | 05:09

  5. Re: blödsinn

    maverick1977 | 05:06


  1. 23:03

  2. 19:01

  3. 18:35

  4. 18:21

  5. 18:04

  6. 17:27

  7. 17:00

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel