Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Gehört Startcom jetzt Wosign?

Ein weiterer Vorfall offenbart einige Fragen zum Verhältnis von Wosign und der ebenfalls kostenlosen israelischen Zertifizierungsstelle Startcom. Offenbar war es möglich, durch das Ändern eines Parameters in der URL über das Interface von Startencrypt, einem neuen Service von Startcom, ein von Wosign signiertes Zertifikat auszustellen. Zur Erinnerung: Startencrypt stand selbst kürzlich wegen heftiger Sicherheitslücken in der Kritik.

Anzeige

Dazu kam jedoch, dass diese Zertifikate zum einen eine SHA-1-Signatur trugen und zum anderen zurückdatiert wurden. Seit Januar 2015 ist die Ausstellung von Zertifikaten mit dem problematischen SHA-1-Algorithmus nicht mehr erlaubt. Einige Browser haben daher Mechanismen implementiert, die neuere Zertifikate mit SHA-1-Signatur nicht akzeptieren. Doch das Rückdatieren ermöglicht es, diese Mechanismen zu umgehen.

Bug im System

Laut Wosign handelte es sich jedoch hier nicht um einen bewussten Versuch, Zertifikate rückzudatieren, es sei lediglich ein Bug im System gewesen. Nur zwei Testzertifikate wurden darüber ausgestellt.

Der Vorfall zeigt, dass Wosign und Startcom offenbar teilweise dieselbe Infrastruktur nutzen. Bekannt ist, dass Wosign seit längerem ein Intermediate-Zertifikat nutzt, das von Startcom signiert ist. Das hat schlicht den Grund, dass noch nicht alle Browser das Wosign-Zertifikat direkt akzeptieren und ist zunächst nicht unüblich.

Doch scheinbar haben Wosign und Startcom inzwischen denselben Besitzer. Itzhak Daniel, ein ehemaliger Mitarbeiter von Startcom, berichtet auf einer Webseite darüber, dass die Zertifizierungsstelle inzwischen einer Startcom CA Limited gehöre, die in Großbritannien gemeldet sei. Diese wiederum gehöre Richard Wang, dem CEO von Wosign. Ein Teil der Infrastruktur von Startcom wird inzwischen offenbar in China betrieben. Auf Nachfragen reagierte Startcom mit unklaren Antworten. "Ich denke, dass Firmen, die dafür zuständig sind, das Internet abzusichern, bei ihren Aktivitäten transparent sein sollen und es sollte klar sein, wer dahinter steht", schreibt Daniel.

Weiterhin meldete sich auf der Mozilla-Liste ein chinesischer IT-Sicherheitsforscher, der behauptete, ein Zertifikat für www.alicdn.com erhalten zu haben. Diese Domain wird von der chinesischen Firma Alibaba unter anderem für die Services von Taobao und Tmall genutzt. Dieses Zertifikat wurde erst im Juni 2016 ausgestellt. In dem Fall ist unklar, welche Sicherheitslücke dafür verantwortlich war, oder ob die Behauptung überhaupt stimmt. Gervase Markham bat den Poster dieser Mails, zu belegen, dass er im Besitz des privaten Schlüssels für dieses Zertifikat sei, bislang ist dies nicht passiert. Aliyun, ebenfalls eine zu Alibaba gehörende Firma, hat seit einiger Zeit eine Kooperation mit Wosign. Insofern handelt es sich möglicherweise um ein legitim ausgestelltes Zertifikat.

Versuchte Wosign, die Vorfälle zu vertuschen?

Laut Chrome-Entwickler Ryan Sleevi erfuhr Google von allen Vorfällen nicht von Wosign direkt, sondern von unabhängigen Sicherheitsforschern. Als Google klar wurde, dass andere Browserhersteller von Wosign über die Vorfälle nicht informiert wurden, gab man die Informationen an die Konkurrenten weiter. Das Verschweigen der Vorfälle ist ein klarer Verstoß gegen die Richtlinien der Browser. Demnach müssen alle Vorfälle, bei denen unberechtigt Zertifikate ausgestellt werden, gemeldet werden. Richard Wang gestand ein, dass es sich dabei um einen schweren Fehler handelte. Er führte jedoch an, dass die Richtlinien für Wosign oft aufgrund von Sprachbarrieren schwer zu verstehen seien.

 Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github ausKünftig alle Wosign-Zertifikate in Certificate Transparency 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Augsburg
  2. Robert Bosch GmbH, Gerlingen
  3. Robert Bosch GmbH, Schwieberdingen
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 27,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  2. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  3. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  4. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  5. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  6. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  7. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  8. Datenrate

    Kunden wollen schnelle Internetzugänge

  9. Essential Phone im Test

    Das essenzielle Android-Smartphone hat ein Problem

  10. Pixel Visual Core

    Googles eigener ISP macht HDR+ schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Mietzahlungen der Telekom?

    Ovaron | 17:21

  2. Re: Berechnung stimmt nicht...

    Eheran | 17:20

  3. Re: Akkus des E-Golfs und Motorleistung eines Teslas

    Dwalinn | 17:20

  4. Re: Fürs deutsche Gesundheitssystem somit ungeeignet.

    Ovaron | 17:16

  5. Re: Was ist eigentlich mit der Option "DayFlat"?

    DAUVersteher | 17:14


  1. 17:02

  2. 16:35

  3. 15:53

  4. 15:00

  5. 14:31

  6. 14:16

  7. 14:00

  8. 12:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel