Gehört Startcom jetzt Wosign?

Ein weiterer Vorfall offenbart einige Fragen zum Verhältnis von Wosign und der ebenfalls kostenlosen israelischen Zertifizierungsstelle Startcom. Offenbar war es möglich, durch das Ändern eines Parameters in der URL über das Interface von Startencrypt, einem neuen Service von Startcom, ein von Wosign signiertes Zertifikat auszustellen. Zur Erinnerung: Startencrypt stand selbst kürzlich wegen heftiger Sicherheitslücken in der Kritik.

Dazu kam jedoch, dass diese Zertifikate zum einen eine SHA-1-Signatur trugen und zum anderen zurückdatiert wurden. Seit Januar 2015 ist die Ausstellung von Zertifikaten mit dem problematischen SHA-1-Algorithmus nicht mehr erlaubt. Einige Browser haben daher Mechanismen implementiert, die neuere Zertifikate mit SHA-1-Signatur nicht akzeptieren. Doch das Rückdatieren ermöglicht es, diese Mechanismen zu umgehen.

Bug im System

Laut Wosign handelte es sich jedoch hier nicht um einen bewussten Versuch, Zertifikate rückzudatieren, es sei lediglich ein Bug im System gewesen. Nur zwei Testzertifikate wurden darüber ausgestellt.

Der Vorfall zeigt, dass Wosign und Startcom offenbar teilweise dieselbe Infrastruktur nutzen. Bekannt ist, dass Wosign seit längerem ein Intermediate-Zertifikat nutzt, das von Startcom signiert ist. Das hat schlicht den Grund, dass noch nicht alle Browser das Wosign-Zertifikat direkt akzeptieren und ist zunächst nicht unüblich.

Doch scheinbar haben Wosign und Startcom inzwischen denselben Besitzer. Itzhak Daniel, ein ehemaliger Mitarbeiter von Startcom, berichtet auf einer Webseite darüber, dass die Zertifizierungsstelle inzwischen einer Startcom CA Limited gehöre, die in Großbritannien gemeldet sei. Diese wiederum gehöre Richard Wang, dem CEO von Wosign. Ein Teil der Infrastruktur von Startcom wird inzwischen offenbar in China betrieben. Auf Nachfragen reagierte Startcom mit unklaren Antworten. "Ich denke, dass Firmen, die dafür zuständig sind, das Internet abzusichern, bei ihren Aktivitäten transparent sein sollen und es sollte klar sein, wer dahinter steht", schreibt Daniel.

Weiterhin meldete sich auf der Mozilla-Liste ein chinesischer IT-Sicherheitsforscher, der behauptete, ein Zertifikat für www.alicdn.com erhalten zu haben. Diese Domain wird von der chinesischen Firma Alibaba unter anderem für die Services von Taobao und Tmall genutzt. Dieses Zertifikat wurde erst im Juni 2016 ausgestellt. In dem Fall ist unklar, welche Sicherheitslücke dafür verantwortlich war, oder ob die Behauptung überhaupt stimmt. Gervase Markham bat den Poster dieser Mails, zu belegen, dass er im Besitz des privaten Schlüssels für dieses Zertifikat sei, bislang ist dies nicht passiert. Aliyun, ebenfalls eine zu Alibaba gehörende Firma, hat seit einiger Zeit eine Kooperation mit Wosign. Insofern handelt es sich möglicherweise um ein legitim ausgestelltes Zertifikat.

Versuchte Wosign, die Vorfälle zu vertuschen?

Laut Chrome-Entwickler Ryan Sleevi erfuhr Google von allen Vorfällen nicht von Wosign direkt, sondern von unabhängigen Sicherheitsforschern. Als Google klar wurde, dass andere Browserhersteller von Wosign über die Vorfälle nicht informiert wurden, gab man die Informationen an die Konkurrenten weiter. Das Verschweigen der Vorfälle ist ein klarer Verstoß gegen die Richtlinien der Browser. Demnach müssen alle Vorfälle, bei denen unberechtigt Zertifikate ausgestellt werden, gemeldet werden. Richard Wang gestand ein, dass es sich dabei um einen schweren Fehler handelte. Er führte jedoch an, dass die Richtlinien für Wosign oft aufgrund von Sprachbarrieren schwer zu verstehen seien.