Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Gehört Startcom jetzt Wosign?

Ein weiterer Vorfall offenbart einige Fragen zum Verhältnis von Wosign und der ebenfalls kostenlosen israelischen Zertifizierungsstelle Startcom. Offenbar war es möglich, durch das Ändern eines Parameters in der URL über das Interface von Startencrypt, einem neuen Service von Startcom, ein von Wosign signiertes Zertifikat auszustellen. Zur Erinnerung: Startencrypt stand selbst kürzlich wegen heftiger Sicherheitslücken in der Kritik.

Anzeige

Dazu kam jedoch, dass diese Zertifikate zum einen eine SHA-1-Signatur trugen und zum anderen zurückdatiert wurden. Seit Januar 2015 ist die Ausstellung von Zertifikaten mit dem problematischen SHA-1-Algorithmus nicht mehr erlaubt. Einige Browser haben daher Mechanismen implementiert, die neuere Zertifikate mit SHA-1-Signatur nicht akzeptieren. Doch das Rückdatieren ermöglicht es, diese Mechanismen zu umgehen.

Bug im System

Laut Wosign handelte es sich jedoch hier nicht um einen bewussten Versuch, Zertifikate rückzudatieren, es sei lediglich ein Bug im System gewesen. Nur zwei Testzertifikate wurden darüber ausgestellt.

Der Vorfall zeigt, dass Wosign und Startcom offenbar teilweise dieselbe Infrastruktur nutzen. Bekannt ist, dass Wosign seit längerem ein Intermediate-Zertifikat nutzt, das von Startcom signiert ist. Das hat schlicht den Grund, dass noch nicht alle Browser das Wosign-Zertifikat direkt akzeptieren und ist zunächst nicht unüblich.

Doch scheinbar haben Wosign und Startcom inzwischen denselben Besitzer. Itzhak Daniel, ein ehemaliger Mitarbeiter von Startcom, berichtet auf einer Webseite darüber, dass die Zertifizierungsstelle inzwischen einer Startcom CA Limited gehöre, die in Großbritannien gemeldet sei. Diese wiederum gehöre Richard Wang, dem CEO von Wosign. Ein Teil der Infrastruktur von Startcom wird inzwischen offenbar in China betrieben. Auf Nachfragen reagierte Startcom mit unklaren Antworten. "Ich denke, dass Firmen, die dafür zuständig sind, das Internet abzusichern, bei ihren Aktivitäten transparent sein sollen und es sollte klar sein, wer dahinter steht", schreibt Daniel.

Weiterhin meldete sich auf der Mozilla-Liste ein chinesischer IT-Sicherheitsforscher, der behauptete, ein Zertifikat für www.alicdn.com erhalten zu haben. Diese Domain wird von der chinesischen Firma Alibaba unter anderem für die Services von Taobao und Tmall genutzt. Dieses Zertifikat wurde erst im Juni 2016 ausgestellt. In dem Fall ist unklar, welche Sicherheitslücke dafür verantwortlich war, oder ob die Behauptung überhaupt stimmt. Gervase Markham bat den Poster dieser Mails, zu belegen, dass er im Besitz des privaten Schlüssels für dieses Zertifikat sei, bislang ist dies nicht passiert. Aliyun, ebenfalls eine zu Alibaba gehörende Firma, hat seit einiger Zeit eine Kooperation mit Wosign. Insofern handelt es sich möglicherweise um ein legitim ausgestelltes Zertifikat.

Versuchte Wosign, die Vorfälle zu vertuschen?

Laut Chrome-Entwickler Ryan Sleevi erfuhr Google von allen Vorfällen nicht von Wosign direkt, sondern von unabhängigen Sicherheitsforschern. Als Google klar wurde, dass andere Browserhersteller von Wosign über die Vorfälle nicht informiert wurden, gab man die Informationen an die Konkurrenten weiter. Das Verschweigen der Vorfälle ist ein klarer Verstoß gegen die Richtlinien der Browser. Demnach müssen alle Vorfälle, bei denen unberechtigt Zertifikate ausgestellt werden, gemeldet werden. Richard Wang gestand ein, dass es sich dabei um einen schweren Fehler handelte. Er führte jedoch an, dass die Richtlinien für Wosign oft aufgrund von Sprachbarrieren schwer zu verstehen seien.

 Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github ausKünftig alle Wosign-Zertifikate in Certificate Transparency 

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. RA Consulting GmbH, Bruchsal
  2. Rechenzentrum Region Stuttgart GmbH, Stuttgart
  3. operational services GmbH & Co. KG, Braunschweig
  4. BG-Phoenics GmbH, München


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. GTA V PS4/XBO für 27,00€ und Fast & Furious 1-7 Box Blu...
  2. (u. a. Wolverine 1&2, Iron Man 1-3 und Avengers)
  3. (u. a. Total War: WARHAMMER 24,99€ und Rome: Total War Collection 2,75€)

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Ms MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Na endlich

    ceysin | 03:03

  2. Re: gestern vdsl50 erstmals getestet

    bombinho | 02:54

  3. Re: Private geben sich selbst Todesstoß

    ve2000 | 02:21

  4. Re: 80 Prozent nutzen die kostenfreien SD-Varianten.

    ve2000 | 02:13

  5. Re: Ich bin auch für die Todesstrafe

    ooKEKSKILLERoo | 01:48


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel