Abo
  • Services:
Anzeige
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme.
Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign)

Künftig alle Wosign-Zertifikate in Certificate Transparency

Die Vorfälle sind ohne Zweifel gravierend. Doch Wosign bemüht sich erkennbar darum, zumindest auf technischer Ebene gegen künftige Vorfälle vorzusorgen. Seit Kurzem werden alle neu ausgestellten Wosign-Zertifikate in Logs des Certificate-Transparency-Systems von Google eingetragen. Damit kann jeder überprüfen, für welche Domains Zertifikate ausgestellt werden. Auch alle Zertifikate, die im Jahr 2015 ausgestellt wurden, will Wosign in den Logs veröffentlichen.

Anzeige

Wosign-Zertifikate enthalten Signed Certificate Timestamps

Auch enthalten die Wosign-Zertifikate sogenannte Signed Certificate Timestamps (SCT). Dabei handelt es sich um signierte Bestätigungen eines Logs über die Zertifikatseintragung. Auch Startcom stattet seine Zertifikate seit einiger Zeit mit SCTs aus. Browser können damit Zertifikate von Wosign oder Startcom, die keine SCTs enthalten und jüngeren Datums sind, ablehnen.

Damit sind die beiden Zertifizierungsstellen beim Implementieren von Certificate Transparency sogar engagierter als Letsencrypt. Dort sind bislang keine SCTs in den Zertifikaten enthalten, obwohl trotzdem alle Zertifikate in die Logs eingetragen werden.

Über der ganzen Debatte schwebt natürlich implizit der Vorwurf, dass Wosign als chinesische Firma besonders verdächtig ist, mit staatlichen Stellen zusammenzuarbeiten. Doch bei allen Fällen handelt es sich offenbar um schlichte Bugs und keine bösartigen Angriffe. Eine weitere chinesische Zertifizierungsstelle, CNNIC, wurde nach Sicherheitsproblemen aus den gängigen Browsern ausgeschlossen.

Sicherheitslücken auch in westlichen Zertifizierungsstellen

Klar ist aber auch, dass gravierende Sicherheitslücken bei Zertifizierungsstellen in westlichen Staaten auch immer wieder auftauchen. Zuletzt gab es etwa bei Comodo ein Problem mit den Verifikations-E-Mails und einer HTML-Injection-Lücke. Symantec hatte im vergangenen Jahr eine ganze Reihe von Problemen, die dazu geführt hatten, dass Google die Zertifizierungsstelle zur Nutzung von Certificate Transparency zwang.

 Gehört Startcom jetzt Wosign?

eye home zur Startseite
negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Hochschule Esslingen, Esslingen
  3. T-Systems International GmbH, München, Nürnberg
  4. MicroNova AG, München/Vierkirchen


Anzeige
Spiele-Angebote
  1. 59,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€
  3. ab 129,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Action

    Bungie bestätigt PC-Version von Destiny 2

  2. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  3. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  4. Ashes of the Singularity

    Patch sorgt auf Ryzen-Chips für 20 Prozent mehr Leistung

  5. Thimbleweed Park im Test

    Mord im Pixelparadies

  6. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  7. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  8. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  9. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  10. Hashfunktion

    Der schwierige Abschied von SHA-1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vikings im Kurztest: Tiefgekühlt kämpfen
Vikings im Kurztest
Tiefgekühlt kämpfen
  1. Future Unfolding im Test Adventure allein im Wald
  2. Nier Automata im Test Stilvolle Action mit Überraschungen
  3. Nioh im Test Brutal schwierige Samurai-Action

Logitech UE Wonderboom im Hands on: Der Lautsprecher, der im Wasser schwimmt
Logitech UE Wonderboom im Hands on
Der Lautsprecher, der im Wasser schwimmt
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino
  2. Mikrosystem Usound baut Mems-Lautsprecher für Kopfhörer
  3. Automute Stummschalten beim Ausstöpseln der Kopfhörer

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

  1. Re: Whitewashing, was ein Quatsch!

    mnementh | 00:22

  2. Re: Das dritte Pixel-Spiel die Woche

    QDOS | 00:03

  3. Re: Ein bisschen hoch der Fingerabrducksensor

    Topf | 00:00

  4. Wofuer steht eigentlich das FREE in Freelens ?

    Uriens_The_Gray | 30.03. 23:57

  5. Re: Ostern bei den Schwiegereltern ist gerettet

    PocketIsland | 30.03. 23:56


  1. 22:53

  2. 19:00

  3. 18:40

  4. 18:20

  5. 18:00

  6. 17:08

  7. 16:49

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel