Zertifikate: Startcom gibt auf

Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit.

Artikel veröffentlicht am ,
Startcom wird ab 1.1. 2018 keinerlei Zertifikate mehr ausstellen.
Startcom wird ab 1.1. 2018 keinerlei Zertifikate mehr ausstellen. (Bild: Startcom)

Die Zertifizierungsstelle Startcom gibt auf und will ab Anfang des kommenden Jahres keine neuen Zertifikate mehr ausstellen. Dies gab der Aufsichtsratsvorsitzende der Organisation, Xiaosheng Tan, auf Mozillas Mailingliste bekannt. Auch eine Wiederaufnahme in das Root-Programm von Mozilla steht nicht mehr zur Debatte. Mozilla und andere Browserhersteller hatten sowohl Startcom als auch Wosign wegen Verstößen gegen Richtlinien aus den Programmen entfernt.

Stellenmarkt
  1. Mitarbeiter IT-Support/IT-Hotline (m/w/d)
    Handelshof Management GmbH, Köln
  2. Scrum-Master (d/m/w)
    Pradtke GmbH, Bochum
Detailsuche

Startcom gehört zum chinesischen Internetunternehmen Qihoo360. Vor dem Entzug des Vertrauens hatten Mozilla und weitere Betreiber bemängelt, dass die Verbindung der beiden Zertifizierungsstellen Wosign und Startcom nicht ausreichend deutlich gemacht worden sei. Außerdem gab es technische Fehler bei der Zertifikatsvergabe.

OCSP-Dienst soll noch zwei Jahre online bleiben

Die Abschaltung der Zertifikatsvergabe soll zum 1. Januar 2018 erfolgen. Die Certificate Revocation List und der OCSP-Dienst sollen ab diesem Zeitpunkt noch für zwei Jahre weiterbetrieben werden. Nach Ablauf dieser Zeit sollen auch die drei Rootzertifikate vernichtet werden.

Startcom hatte zuletzt noch versucht, die eigene Infrastruktur zu erneuern und sich um eine Neuaufnahme in die verschiedenen Root-Programme bemüht. Die neue PHP-basierte Software fiel jedoch im Sicherheitstest von Cure53 durch. Dort hieß es: "Die PHP Codebasis war voller Lücken, schlecht kommentiert, hatte wenige oder gar keine Tests und wirkte insgesamt so, als ob sie unter hohem Zeitdruck zusammengehackt wurde." Die Applikation sei offensichtlich "nicht von jemandem entwickelt worden, der etwas von Softwaresicherheit versteht."

Golem Akademie
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
Weitere IT-Trainings

Startcom bedankt sich in der Mail bei der Mozilla-Community und bei Cure53 für das Feedback. Es habe sich gezeigt, dass es noch "Raum für Verbesserungen" gebe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Tomato 20. Nov 2017

Man kann mit PHP auch mittlerweile einigermaßen sauberen OOP-Code schreiben. Man sollte...

Mik30 17. Nov 2017

Das Zitat stammt nicht von cure53. Das hier hat cure53 geschrieben: "In conclusion...

RipClaw 17. Nov 2017

Mir würde auch boulder vom Let's Encrypt Projekt einfallen. Die haben ihre komplette...



Aktuell auf der Startseite von Golem.de
Ebay-Kleinanzeigen
Im Chat mit den Phishing-Betrügern

Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
Ein Bericht von Friedhelm Greis

Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
Artikel
  1. Varia RCT716 Dashcam: Jetzt filmen Radfahrer zurück - mit Radarunterstützung
    Varia RCT716 Dashcam
    Jetzt filmen Radfahrer zurück - mit Radarunterstützung

    Rücklicht plus Fahrzeugwarnung und Dashcam: Garmin stellt mit dem Varia RCT716 ein Gerät vor, das Bewegtbilder nach Unfällen liefert.

  2. Spotify for Work: Unternehmen können Mitarbeitern Spotify-Abo schenken
    Spotify for Work
    Unternehmen können Mitarbeitern Spotify-Abo schenken

    Für Unternehmen bietet Spotify die Möglichkeit, die gesamte Belegschaft mit einem kostenlosen Spotify-Premium-Abo zu versorgen.

  3. Prozessor: Russisches Motherboard mit x86-CPUs von Zhaoxin angekündigt
    Prozessor
    Russisches Motherboard mit x86-CPUs von Zhaoxin angekündigt

    Intel und AMD liefern nicht mehr nach Russland. Kompatiblen x86-Ersatz könnten chinesische Chips für Motherboards und Laptops bieten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /