Abo
  • Services:
Anzeige
Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

Die Certificate Authority Wosign hat am 7. Oktober einen Bericht [PDF] vorgelegt, um auf die zahlreichen Anschuldigungen von Mozilla und Apple zu reagieren. Ob der Bericht und die ergriffenen Maßnahmen ausreichen, um von der Entfernung aus Mozillas Root-Programm verschont zu bleiben, ist aber unklar.

Anzeige

Gegen Wosign waren zahlreiche Anschuldigungen erhoben worden. Unter anderem war es zeitweise möglich, gültige Zertifikate für github.com auszustellen, auch wenn die Antragssteller nur Kontrolle über eine Subdomain wie "projektname.github.com" hatten. Außerdem war dem Unternehmen vorgeworfen worden, Startcom übernommen zu haben, ohne dies öffentlich mitzuteilen.

Ein weiterer Kritikpunkt war die Vergabe rückdatierter SHA-1-Zertifikate. Zahlreiche Beobachter hatten vermutet, dass Wosign die Zertifikate absichtlich mit einem früheren Startdatum versehen hatte, damit diese auch von aktuellen Browsern akzeptiert werden, die keine neu ausgestellten SHA-1-Zertifikate mehr akzeptieren, da diese als unsicher gelten. Wosign widerspricht dieser Darstellung, vielmehr seien ein interner Systemfehler und Versäumnisse bei der Umstellung auf SHA-2 verantwortlich dafür, dass die entsprechenden Zertifikate ausgestellt wurden.

Alle Kunden, die ein solches SHA-1-Zertifikat erworben haben, können bei Wosign ein neues SHA-2-Zertifikat bekommen, das alte Zertifikat wird dann zurückgezogen. Dieses Angebot gibt es schon eine Weile, von den insgesamt 1.132 ausgestellten Zertifikaten seien aber erst 171 umgetauscht worden, wie Wosign schreibt. Es ist durchaus möglich, dass einige Kunden weiter bewusst auf SHA-1-Zertifikate setzen, weil gerade Entwicklungs- und Schwellenländer Betriebssysteme nutzen, die kein SHA-2 unterstützen. Auch in Firmennetzwerken mit MITM-Firewall und ähnlichen Antivirusprodukten kann es zu Problemen kommen. Inhaber der alten Zertifikate haben bis zum 31. Dezember 2016 Zeit, einen Umtausch zu beantragen - danach sollen alle Zertifikate automatisch zurückgezogen werden.

Wosign und Startcom sollen wieder getrennt werden

Ein weiterer Schritt ist die Trennung der beiden zusammengeführten CAs. Infrastruktur und Personal von Wosign und Startcom sollen künftig wieder getrennt geführt werden. Der Wosign-CEO Richard Wang muss seinen Posten aufgeben. Beide CAs werden dann einzeln von dem Investor Qihoo360 beaufsichtigt. Mitarbeiter von Qihoo sollen auch einen Codereview der beiden neuen CAs vornehmen. Startcom wird in Kürze einen eigenen Bericht mit Maßnahmen vorlegen.

Als einen weiteren Schritt hat Wosign bereits mehr als 200.000 Zertifikate auf die Server von Googles Certificate-Transparency-Server hochgeladen. Offenbar hat Wosign die Maßnahmen im Vorfeld bei einem Treffen mit Mozilla-Mitarbeitern diskutiert. Mozilla setzt also offenbar auf Dialog, Apple hingegen hat bereits Maßnahmen ergriffen - und das Cross-signierte Zertifikat von Wosign aus seinem Trust Store entfernt.


eye home zur Startseite
SJ 11. Okt 2016

In China ticken die Uhren halt etwas anders ;)

SJ 11. Okt 2016

Natürlich geht das mit LE



Anzeige

Stellenmarkt
  1. MOBEX Kassensysteme GmbH, Dortmund
  2. WKM GmbH, München
  3. SQS Software Quality Systems AG, deutschlandweit, Frankfurt, Köln, München
  4. Ratbacher GmbH, Aschaffenburg (Home-Office)


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Displayweek 2017

    Die Display-Welt wird rund und durchsichtig

  2. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  3. Künstliche Intelligenz

    Alpha Go geht in Rente

  4. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  5. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  6. Asus

    Das Zenbook Flip S ist 10,9 mm flach

  7. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz

  8. Blackberry

    Qualcomm muss fast 1 Milliarde US-Dollar zurückzahlen

  9. Surface Ergonomische Tastatur im Test

    Eins werden mit Microsofts Tastatur

  10. Russischer Milliardär

    Nonstop-Weltumrundung mit Solarflugzeug geplant



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Akkuproblem noch viel schlimmer als bei PKW!

    Balion | 11:49

  2. Re: offenkundig strafbare Inhalte

    throgh | 11:48

  3. Das Legen wird aber teurer sein. Auch das laden...

    DY | 11:47

  4. Re: Störende Kabel?

    plutoniumsulfat | 11:46

  5. Re: Blöcke [...] die jeweils eine Leistung von 20...

    Baker | 11:45


  1. 11:58

  2. 11:25

  3. 10:51

  4. 10:50

  5. 10:17

  6. 10:12

  7. 09:53

  8. 09:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel