Original-URL des Artikels: https://www.golem.de/news/tls-zertifikate-auch-apple-wendet-sich-gegen-wosign-und-startcom-1610-123635.html    Veröffentlicht: 05.10.2016 18:22    Kurz-URL: https://glm.io/123635

TLS-Zertifikate

Auch Apple wendet sich gegen Wosign und Startcom

Apple tut, was Mozilla bislang nur erwägt: Wosign und Startcom werden aus dem Truststore von iOS und MacOS entfernt. Eine Möglichkeit zur erneuten Bewerbung ist offenbar nicht vorgesehen.

Nachdem bereits die Mozilla-Entwickler harsche Kritik an der Vergabepraxis der Zertifikatsstellen Wosign und Startcom geäußert haben, hat Apple bekanntgegeben, neu ausgestellten Zertifikaten beider Unternehmen in iOS und MacOS künftig nicht mehr zu vertrauen. Die Änderungen sollen mit dem nächsten Sicherheitsupdate wirksam sein.

Apple schreibt, dass es zwar kein Wosign-Root-Zertifikat im Truststore des Unternehmens gebe, die Certificate Authority aber Cross-signierte Zertifikate von Startcom und Comodo genutzt habe. Mit dem kommenden Release wird Apple dem Zertifikat "CA Free SSL Certificate G2 intermediate CA" das Vertrauen entziehen. Unklar ist, ob damit nur die kostenfreien Zertifikate beider Stellen betroffen sind oder auch die teureren EV-Zertifikate.

Beiden Stellen wird vorgeworfen, die Übernahme von Startcom durch Wosign verheimlicht zu haben. Mittlerweile sollen beide Unternehmen jedenfalls zum Teil gemeinsame Infrastruktur benutzen. Anstoß der Kritik waren aber von Wosign fälschlicherweise ausgestellte Zertifikate, die nicht nur für eine Subdomain, sondern auch für die Hauptdomain gültig waren.

Ausgestellte Zertifikate behalten ihre Gültigkeit

Bereits ausgestellte Zertifikate sollen ihre Gültigkeit behalten, wenn diese vor dem 19. September 2016 in den öffentlichen Server-Logs des Certificate Transparency-Projektes registriert wurden. Die Zertifikate sind gültig bis zu ihrem natürlichen Ablaufdatum oder bis sie vom Besitzer zurückgerufen werden. Apple behält sich zudem vor, Zertifikaten nach eigenem Gusto das Vertrauen zu entziehen.

Auf Grund der harschen Kritik von Mozilla ist zu erwarten, dass der Firefox-Hersteller Apple in Kürze folgen wird. Auch Chrome dürfte sich dem Schritt anschließen. Unklar ist, ob sich das Unternehmen unter den gegebenen Rahmenbedingungen erholen kann. Mozilla will Wosign und Startcom das Vertrauen zunächst für ein Jahr entziehen und eine erneute Bewerbung dann prüfen. Apple hat zu einer eventuellen Wiederaufnahme in das eigene Programm bislang nichts gesagt.  (hg)


Verwandte Artikel:
Siri: Apple wird wegen Patentverletzung verklagt   
(11.03.2018, https://glm.io/133268 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )
Zertifikate: Startcom gibt auf   
(17.11.2017, https://glm.io/131205 )
HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben   
(29.10.2017, https://glm.io/130871 )
Microsemi: 8,3-Milliarden-US-Dollar-Übernahme in US-Chipbranche   
(02.03.2018, https://glm.io/133103 )

© 1997–2019 Golem.de, https://www.golem.de/