Abo
  • Services:

TLS-Zertifikate: Wosign gelobt Besserung und räumt auf

Die chinesische Zertifizierungsstelle Wosign will den drohenden Abschied aus Mozillas Root-Programm offenbar mit drastischen Maßnahmen verhindern - der CEO muss gehen, die Firma wird aufgespaltet. Die rückdatierten SHA-1-Zertitikate erklärt Wosign mit einem Systemfehler.

Artikel veröffentlicht am ,
Wosign bittet bei Mozilla um eine zweite Chance.
Wosign bittet bei Mozilla um eine zweite Chance. (Bild: Wosign)

Die Certificate Authority Wosign hat am 7. Oktober einen Bericht [PDF] vorgelegt, um auf die zahlreichen Anschuldigungen von Mozilla und Apple zu reagieren. Ob der Bericht und die ergriffenen Maßnahmen ausreichen, um von der Entfernung aus Mozillas Root-Programm verschont zu bleiben, ist aber unklar.

Stellenmarkt
  1. via 3C - Career Consulting Company GmbH, Frankfurt am Main
  2. Bosch Gruppe, Schwieberdingen

Gegen Wosign waren zahlreiche Anschuldigungen erhoben worden. Unter anderem war es zeitweise möglich, gültige Zertifikate für github.com auszustellen, auch wenn die Antragssteller nur Kontrolle über eine Subdomain wie "projektname.github.com" hatten. Außerdem war dem Unternehmen vorgeworfen worden, Startcom übernommen zu haben, ohne dies öffentlich mitzuteilen.

Ein weiterer Kritikpunkt war die Vergabe rückdatierter SHA-1-Zertifikate. Zahlreiche Beobachter hatten vermutet, dass Wosign die Zertifikate absichtlich mit einem früheren Startdatum versehen hatte, damit diese auch von aktuellen Browsern akzeptiert werden, die keine neu ausgestellten SHA-1-Zertifikate mehr akzeptieren, da diese als unsicher gelten. Wosign widerspricht dieser Darstellung, vielmehr seien ein interner Systemfehler und Versäumnisse bei der Umstellung auf SHA-2 verantwortlich dafür, dass die entsprechenden Zertifikate ausgestellt wurden.

Alle Kunden, die ein solches SHA-1-Zertifikat erworben haben, können bei Wosign ein neues SHA-2-Zertifikat bekommen, das alte Zertifikat wird dann zurückgezogen. Dieses Angebot gibt es schon eine Weile, von den insgesamt 1.132 ausgestellten Zertifikaten seien aber erst 171 umgetauscht worden, wie Wosign schreibt. Es ist durchaus möglich, dass einige Kunden weiter bewusst auf SHA-1-Zertifikate setzen, weil gerade Entwicklungs- und Schwellenländer Betriebssysteme nutzen, die kein SHA-2 unterstützen. Auch in Firmennetzwerken mit MITM-Firewall und ähnlichen Antivirusprodukten kann es zu Problemen kommen. Inhaber der alten Zertifikate haben bis zum 31. Dezember 2016 Zeit, einen Umtausch zu beantragen - danach sollen alle Zertifikate automatisch zurückgezogen werden.

Wosign und Startcom sollen wieder getrennt werden

Ein weiterer Schritt ist die Trennung der beiden zusammengeführten CAs. Infrastruktur und Personal von Wosign und Startcom sollen künftig wieder getrennt geführt werden. Der Wosign-CEO Richard Wang muss seinen Posten aufgeben. Beide CAs werden dann einzeln von dem Investor Qihoo360 beaufsichtigt. Mitarbeiter von Qihoo sollen auch einen Codereview der beiden neuen CAs vornehmen. Startcom wird in Kürze einen eigenen Bericht mit Maßnahmen vorlegen.

Als einen weiteren Schritt hat Wosign bereits mehr als 200.000 Zertifikate auf die Server von Googles Certificate-Transparency-Server hochgeladen. Offenbar hat Wosign die Maßnahmen im Vorfeld bei einem Treffen mit Mozilla-Mitarbeitern diskutiert. Mozilla setzt also offenbar auf Dialog, Apple hingegen hat bereits Maßnahmen ergriffen - und das Cross-signierte Zertifikat von Wosign aus seinem Trust Store entfernt.



Anzeige
Top-Angebote
  1. 12,17€ (ohne Prime oder unter 29€ zzgl. Versand)
  2. 5€
  3. 199€ (Bestpreis!)
  4. 319€ (aktuell günstigste GTX 1070!)

SJ 11. Okt 2016

In China ticken die Uhren halt etwas anders ;)

SJ 11. Okt 2016

Natürlich geht das mit LE


Folgen Sie uns
       


Razer Hypersense angesehen (CES 2019)

Razer hat Vibrationsmotoren in Maus, Handballenablage und Stuhl verbaut - und wir haben uns auf der CES 2019 durchrütteln lassen.

Razer Hypersense angesehen (CES 2019) Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


      •  /