TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

Artikel veröffentlicht am ,
Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

Die Certificate Authority Wosign hat am 7. Oktober einen Bericht [PDF] vorgelegt, um auf die zahlreichen Anschuldigungen von Mozilla und Apple zu reagieren. Ob der Bericht und die ergriffenen Maßnahmen ausreichen, um von der Entfernung aus Mozillas Root-Programm verschont zu bleiben, ist aber unklar.

Gegen Wosign waren zahlreiche Anschuldigungen erhoben worden. Unter anderem war es zeitweise möglich, gültige Zertifikate für github.com auszustellen, auch wenn die Antragssteller nur Kontrolle über eine Subdomain wie "projektname.github.com" hatten. Außerdem war dem Unternehmen vorgeworfen worden, Startcom übernommen zu haben, ohne dies öffentlich mitzuteilen.

Ein weiterer Kritikpunkt war die Vergabe rückdatierter SHA-1-Zertifikate. Zahlreiche Beobachter hatten vermutet, dass Wosign die Zertifikate absichtlich mit einem früheren Startdatum versehen hatte, damit diese auch von aktuellen Browsern akzeptiert werden, die keine neu ausgestellten SHA-1-Zertifikate mehr akzeptieren, da diese als unsicher gelten. Wosign widerspricht dieser Darstellung, vielmehr seien ein interner Systemfehler und Versäumnisse bei der Umstellung auf SHA-2 verantwortlich dafür, dass die entsprechenden Zertifikate ausgestellt wurden.

Alle Kunden, die ein solches SHA-1-Zertifikat erworben haben, können bei Wosign ein neues SHA-2-Zertifikat bekommen, das alte Zertifikat wird dann zurückgezogen. Dieses Angebot gibt es schon eine Weile, von den insgesamt 1.132 ausgestellten Zertifikaten seien aber erst 171 umgetauscht worden, wie Wosign schreibt. Es ist durchaus möglich, dass einige Kunden weiter bewusst auf SHA-1-Zertifikate setzen, weil gerade Entwicklungs- und Schwellenländer Betriebssysteme nutzen, die kein SHA-2 unterstützen. Auch in Firmennetzwerken mit MITM-Firewall und ähnlichen Antivirusprodukten kann es zu Problemen kommen. Inhaber der alten Zertifikate haben bis zum 31. Dezember 2016 Zeit, einen Umtausch zu beantragen - danach sollen alle Zertifikate automatisch zurückgezogen werden.

Wosign und Startcom sollen wieder getrennt werden

Ein weiterer Schritt ist die Trennung der beiden zusammengeführten CAs. Infrastruktur und Personal von Wosign und Startcom sollen künftig wieder getrennt geführt werden. Der Wosign-CEO Richard Wang muss seinen Posten aufgeben. Beide CAs werden dann einzeln von dem Investor Qihoo360 beaufsichtigt. Mitarbeiter von Qihoo sollen auch einen Codereview der beiden neuen CAs vornehmen. Startcom wird in Kürze einen eigenen Bericht mit Maßnahmen vorlegen.

Als einen weiteren Schritt hat Wosign bereits mehr als 200.000 Zertifikate auf die Server von Googles Certificate-Transparency-Server hochgeladen. Offenbar hat Wosign die Maßnahmen im Vorfeld bei einem Treffen mit Mozilla-Mitarbeitern diskutiert. Mozilla setzt also offenbar auf Dialog, Apple hingegen hat bereits Maßnahmen ergriffen - und das Cross-signierte Zertifikat von Wosign aus seinem Trust Store entfernt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Ungewöhnlicher Kundenservice
Wie ich meine neuen Kopfhörer mit dem Hammer zerschlug

Normalerweise muss man sich in einem Garantiefall nicht dabei filmen, wie man das defekte Produkt zerstört. Ich schon - nur so bekam ich einen Ersatz für meinen Kopfhörer.
Ein Erfahrungsbericht von Tobias Költzsch

Ungewöhnlicher Kundenservice: Wie ich meine neuen Kopfhörer mit dem Hammer zerschlug
Artikel
  1. Deutschland auf Platz 3: Millionen von SSH-Servern anfällig für Terrapin-Angriff
    Deutschland auf Platz 3
    Millionen von SSH-Servern anfällig für Terrapin-Angriff

    Allein in Deutschland gibt es mehr als eine Million über das Internet erreichbare SSH-Server, die nicht gegen Terrapin gepatcht sind.

  2. Festnetz- und Mobilfunk: Telefónica beginnt Massenentlassungen in Spanien
    Festnetz- und Mobilfunk
    Telefónica beginnt Massenentlassungen in Spanien

    Von 16.500 Arbeitsplätzen beim Telefónica-Mutterkonzern soll rund ein Fünftel verschwinden. Der Stellenabbau betrifft vor allem Ältere.

  3. Streamer: Twitch verbietet vorgetäuschte Nacktheit
    Streamer
    Twitch verbietet vorgetäuschte Nacktheit

    Schwarze Balken über der scheinbar nackten Brust? Nicht erlaubt! Selbst wenn Unterwäsche hervorblitzt, verbietet Twitch solche Darstellungen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P3 Plus 4 TB + Acronis 194,83€ • MediaMarkt & Saturn: Gutscheinheft mit Rabattaktionen und 3 Games für 49€ • Alternate: Thermaltake-Produkte im Angebot • HP Victus 15.6" 144Hz (i5-13420H, 16 GB, RTX 3050) 777€ • MindStar: Corsair Vengeance RGB 64 GB DDR5-6000 199€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /