Abo
  • Services:

Künftig alle Wosign-Zertifikate in Certificate Transparency

Die Vorfälle sind ohne Zweifel gravierend. Doch Wosign bemüht sich erkennbar darum, zumindest auf technischer Ebene gegen künftige Vorfälle vorzusorgen. Seit Kurzem werden alle neu ausgestellten Wosign-Zertifikate in Logs des Certificate-Transparency-Systems von Google eingetragen. Damit kann jeder überprüfen, für welche Domains Zertifikate ausgestellt werden. Auch alle Zertifikate, die im Jahr 2015 ausgestellt wurden, will Wosign in den Logs veröffentlichen.

Wosign-Zertifikate enthalten Signed Certificate Timestamps

Stellenmarkt
  1. über duerenhoff GmbH, Erding
  2. über duerenhoff GmbH, Raum Mannheim, deutschlandweit

Auch enthalten die Wosign-Zertifikate sogenannte Signed Certificate Timestamps (SCT). Dabei handelt es sich um signierte Bestätigungen eines Logs über die Zertifikatseintragung. Auch Startcom stattet seine Zertifikate seit einiger Zeit mit SCTs aus. Browser können damit Zertifikate von Wosign oder Startcom, die keine SCTs enthalten und jüngeren Datums sind, ablehnen.

Damit sind die beiden Zertifizierungsstellen beim Implementieren von Certificate Transparency sogar engagierter als Letsencrypt. Dort sind bislang keine SCTs in den Zertifikaten enthalten, obwohl trotzdem alle Zertifikate in die Logs eingetragen werden.

Über der ganzen Debatte schwebt natürlich implizit der Vorwurf, dass Wosign als chinesische Firma besonders verdächtig ist, mit staatlichen Stellen zusammenzuarbeiten. Doch bei allen Fällen handelt es sich offenbar um schlichte Bugs und keine bösartigen Angriffe. Eine weitere chinesische Zertifizierungsstelle, CNNIC, wurde nach Sicherheitsproblemen aus den gängigen Browsern ausgeschlossen.

Sicherheitslücken auch in westlichen Zertifizierungsstellen

Klar ist aber auch, dass gravierende Sicherheitslücken bei Zertifizierungsstellen in westlichen Staaten auch immer wieder auftauchen. Zuletzt gab es etwa bei Comodo ein Problem mit den Verifikations-E-Mails und einer HTML-Injection-Lücke. Symantec hatte im vergangenen Jahr eine ganze Reihe von Problemen, die dazu geführt hatten, dass Google die Zertifizierungsstelle zur Nutzung von Certificate Transparency zwang.

 Gehört Startcom jetzt Wosign?
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 23,99€
  3. 216,50€

negecy 02. Sep 2016

Moment mal, da wurden vor nicht all zu langer Zeit bösartige Zertifikate von Let's...

der-dicky 02. Sep 2016

...und was genau spricht dagegen? anderer quell port, gleicher ziel-port, das macht kein...

Moe479 31. Aug 2016

bemühen reicht leider nicht und halbdaneben ist trotzdem vorbei! das ganze geschäft...


Folgen Sie uns
       


Bright Memory Episode 1 - 10 Minuten Gameplay

Wir zeigen die ersten 10 Minuten von Bright Memory, dem actionreichen Indie-Ego-Shooter mit spektakulären Schwertkampf-Einlagen.

Bright Memory Episode 1 - 10 Minuten Gameplay Video aufrufen
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
    Android-Smartphone
    10 Jahre in die Vergangenheit in 5 Tagen

    Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
    Ein Erfahrungsbericht von Martin Wolf

    1. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
    2. Google Auf dem Weg zu reinen 64-Bit-Android-Apps
    3. Sicherheitslücke Mit Skype Android-PIN umgehen

      •  /