Abo
  • Services:

Gehört Startcom jetzt Wosign?

Ein weiterer Vorfall offenbart einige Fragen zum Verhältnis von Wosign und der ebenfalls kostenlosen israelischen Zertifizierungsstelle Startcom. Offenbar war es möglich, durch das Ändern eines Parameters in der URL über das Interface von Startencrypt, einem neuen Service von Startcom, ein von Wosign signiertes Zertifikat auszustellen. Zur Erinnerung: Startencrypt stand selbst kürzlich wegen heftiger Sicherheitslücken in der Kritik.

Stellenmarkt
  1. über duerenhoff GmbH, Hamburg
  2. Symgenius GmbH & Co. KG, Düsseldorf, Bad Gandersheim

Dazu kam jedoch, dass diese Zertifikate zum einen eine SHA-1-Signatur trugen und zum anderen zurückdatiert wurden. Seit Januar 2015 ist die Ausstellung von Zertifikaten mit dem problematischen SHA-1-Algorithmus nicht mehr erlaubt. Einige Browser haben daher Mechanismen implementiert, die neuere Zertifikate mit SHA-1-Signatur nicht akzeptieren. Doch das Rückdatieren ermöglicht es, diese Mechanismen zu umgehen.

Bug im System

Laut Wosign handelte es sich jedoch hier nicht um einen bewussten Versuch, Zertifikate rückzudatieren, es sei lediglich ein Bug im System gewesen. Nur zwei Testzertifikate wurden darüber ausgestellt.

Der Vorfall zeigt, dass Wosign und Startcom offenbar teilweise dieselbe Infrastruktur nutzen. Bekannt ist, dass Wosign seit längerem ein Intermediate-Zertifikat nutzt, das von Startcom signiert ist. Das hat schlicht den Grund, dass noch nicht alle Browser das Wosign-Zertifikat direkt akzeptieren und ist zunächst nicht unüblich.

Doch scheinbar haben Wosign und Startcom inzwischen denselben Besitzer. Itzhak Daniel, ein ehemaliger Mitarbeiter von Startcom, berichtet auf einer Webseite darüber, dass die Zertifizierungsstelle inzwischen einer Startcom CA Limited gehöre, die in Großbritannien gemeldet sei. Diese wiederum gehöre Richard Wang, dem CEO von Wosign. Ein Teil der Infrastruktur von Startcom wird inzwischen offenbar in China betrieben. Auf Nachfragen reagierte Startcom mit unklaren Antworten. "Ich denke, dass Firmen, die dafür zuständig sind, das Internet abzusichern, bei ihren Aktivitäten transparent sein sollen und es sollte klar sein, wer dahinter steht", schreibt Daniel.

Weiterhin meldete sich auf der Mozilla-Liste ein chinesischer IT-Sicherheitsforscher, der behauptete, ein Zertifikat für www.alicdn.com erhalten zu haben. Diese Domain wird von der chinesischen Firma Alibaba unter anderem für die Services von Taobao und Tmall genutzt. Dieses Zertifikat wurde erst im Juni 2016 ausgestellt. In dem Fall ist unklar, welche Sicherheitslücke dafür verantwortlich war, oder ob die Behauptung überhaupt stimmt. Gervase Markham bat den Poster dieser Mails, zu belegen, dass er im Besitz des privaten Schlüssels für dieses Zertifikat sei, bislang ist dies nicht passiert. Aliyun, ebenfalls eine zu Alibaba gehörende Firma, hat seit einiger Zeit eine Kooperation mit Wosign. Insofern handelt es sich möglicherweise um ein legitim ausgestelltes Zertifikat.

Versuchte Wosign, die Vorfälle zu vertuschen?

Laut Chrome-Entwickler Ryan Sleevi erfuhr Google von allen Vorfällen nicht von Wosign direkt, sondern von unabhängigen Sicherheitsforschern. Als Google klar wurde, dass andere Browserhersteller von Wosign über die Vorfälle nicht informiert wurden, gab man die Informationen an die Konkurrenten weiter. Das Verschweigen der Vorfälle ist ein klarer Verstoß gegen die Richtlinien der Browser. Demnach müssen alle Vorfälle, bei denen unberechtigt Zertifikate ausgestellt werden, gemeldet werden. Richard Wang gestand ein, dass es sich dabei um einen schweren Fehler handelte. Er führte jedoch an, dass die Richtlinien für Wosign oft aufgrund von Sprachbarrieren schwer zu verstehen seien.

 Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github ausKünftig alle Wosign-Zertifikate in Certificate Transparency 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. bei dell.com
  2. bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)

negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...


Folgen Sie uns
       


Lenovo Ideapad 720S - Test (AMD vs. Intel)

Wir vergleichen Lenovos Ideapad 720S mit AMDs Ryzen 7 und Intels Core i5.

Lenovo Ideapad 720S - Test (AMD vs. Intel) Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Ancestors Legacy angespielt: Mittelalter für Echtzeit-Strategen
    Ancestors Legacy angespielt
    Mittelalter für Echtzeit-Strategen

    Historisch mehr oder weniger akkurate Spiele sind angesagt, nach Assassin's Creed Origins und Kingdom Come Deliverance will nun auch Ancestors Legacy mit Geschichte punkten. Golem.de hat eine Beta des im Mittelalter angesiedelten Strategiespiels ausprobiert.

    1. Into the Breach im Test Strategiespaß im Quadrat

    Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
    Datenschutz
    Der Nutzer ist willig, doch die AGB sind schwach

    Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
    2. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
    3. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

      •  /