Wichtige SSL-Zertifikate von Google Chrome verboten!
In Übereinstimmung mit den Bedingungen einer von Google im Vorjahr angekündigten Bestrafung hat der Webgigant ausgestellt eine Erklärung Es kann TLS- oder SSL-Zertifizierungsstellen nicht mehr vertrauen WoSign sowie seine Tochtergesellschaft, StartCom. Dies geschieht unmittelbar vor dem Start von Chrome 61. Der Grund für dieses Verbot? Laut Google haben die beiden Zertifizierungsstellen die hohen Anforderungen der Zertifizierungsstellen nicht erfüllt.
Obwohl der Umzug schockierend ist, kann er kaum als Überraschung bezeichnet werden, wenn man bedenkt, wie Google vom Sicherheitsteam von GitHub am 17. Benachrichtigungen gesendet hatth August letzten Jahres, in Bezug auf die Tatsache, dass WoSign - die chinesische Zertifizierungsstelle - einem nicht genannten GitHub-Benutzer ein Basiszertifikat für eine der Domänen von GitHub ausgehändigt hatte, ohne irgendeine Genehmigung zu verlangen.
Warum hat Google die Entscheidung getroffen?
Sobald die Nachricht von diesem Problem bekannt wurde, leitete das Google-Team eine umfassende Untersuchung ein. Diese Untersuchung sollte in Zusammenarbeit mit Mozilla und der größeren Sicherheitsgemeinschaft öffentlich sein. Die Untersuchung ergab sehr bald einige interessante Beweise für verschiedene andere Fälle, die die unzulässige Ausstellung von Zertifikaten seitens WoSign betrafen.
Aufgrund des Ergebnisses der Untersuchung blieb Google keine andere Wahl, als das Vertrauen von Zertifikaten, die von StartCom und WoSign unterstützt wurden, auf Zertifikate zu verringern, die vor dem 21. ausgestellt wurdenst von Oktober letzten Jahres. Darüber hinaus ist der Tech-Riese derzeit dabei, verschiedene Hostnamen auf der Whitelist im Verlauf verschiedener Chrome-Versionen seit Google Chrome 56 zu entfernen.
Laut dem Inhalt eines kürzlich veröffentlichten Google-Posts von Devon O'Brien, einem Sicherheitsingenieur für Chrome, würde das Unternehmen nun endlich die Whitelist aus der neuesten Version von Chrome entfernen. Dies bedeutet, dass Google beschlossen hat, den aktuellen StartCom- und WoSign-Zertifikaten voll und ganz zu misstrauen. Laut O'Brien wird die Whitelist ab Chrome 61 nicht mehr vorhanden sein, was zu einem vollständigen Misstrauen gegenüber vorhandenen Stammzertifikaten von WoSign und StartCom, ihrer Tochtergesellschaft, sowie gegenüber von ihnen ausgestellten Zertifikaten führt.
Laut dem Chromium Development Calender werden alle diese Änderungen, die implementiert wurden, in den nächsten Wochen im Chrome Dev-Kanal sichtbar sein. Der Chrome Beta-Kanal wird diese Änderungen gegen Ende Juli 2017 präsentieren, während die Stable-Version diese Änderungen Mitte September 2017 widerspiegeln wird.
Im vergangenen Jahr haben Mozilla und Apple WoSign ihr Vertrauen entzogen, und es war StartCom, der aufgrund einer Reihe von Verwaltungs- und technischen Fehlern die Zertifikate für ihre Webbrowser ausstellte.
Sie datieren SSL-Zertifikate zurück
Laut Kathleen Wilson, der Leiterin des vertrauenswürdigen Root-Programms für Mozilla, fanden sie Hinweise darauf, dass WoSign und StartCom SSL-Zertifikate zurückdatierten, um einen Weg über die Frist hinaus zu finden, der CAs daran hinderte, SHA-1-SSL-Zertifikate auszustellen nach dem 1st Dies ist eine sehr schwerwiegende Behauptung und könnte in Zukunft erhebliche Auswirkungen auf die SSL-Zertifizierungsstellen haben.
Das ist jedoch noch nicht alles. Es war Mozilla, der auch entdeckte, dass WoSign eine andere Zertifizierungsstelle namens StartCom in Vollzeit übernommen hatte, diese Informationen jedoch nicht preisgab, obwohl dies in der Mozilla-Richtlinie klar erwähnt wurde.
Probleme mit dem WoSign-Zertifikatsservice reichen bis in den Juli 2015 zurück, und diese Informationen wurden im Vorjahr von Gervase Markham öffentlich bekannt gegeben. Laut dem britischen Mozilla-Programmierer ist ein nicht identifizierter Forscher versehentlich auf diese Sicherheitsaufsicht gestoßen, als er versuchte, ein Zertifikat für „med.ucf.edu“ zu erhalten. Er hatte auch einen Antrag für „www.ucf.ed“ eingereicht und WoSign hatte ihm die Genehmigung erteilt und das Zertifikat für die primäre Domäne der Universität vorgelegt.
Um dies zu testen, verwendete der Sicherheitsforscher denselben Trick für GitHub-basierte Domänen. Er bewies seine Kontrolle über eine Subdomain und schockierend gab ihm WoSign auch das Zertifikat für die Hauptdomains von GitHub.
Ab Ende dieses Jahres ab September 2017 erhalten alle Besucher von Websites, die StartCom- und WoSign-HTTPS-Zertifikate verwenden, Vertrauenswarnungen in ihren Webbrowsern.
This method is amazing! Ill attempt it later on. Thanks for the valuable advice!
Some people want to monitor their kids and employees. Also, people want to catch their spouse cheats. The technology helps all to have better and secret conversations with others. Therefore, it becomes difficult to catch an employee or spouse cheating on you. If you are finding any technique that can help you to catch someone’s cheat on you, then you must go for the spy suspect’s cell phone. Spying on someone’s cell phone enables you to get all the mobile activities on your dashboard at the right time. With small formalities and precautions, you can understand whether the victim is reliable or not. Spying the cell phone offers vvv users to catch cheats on you as well as provide monitoring. Contact the right hacker via, [email protected], and you can text, call him on whatsapp him on +12014305865, or +17736092741,
I have tried alot of companies and hackers to clone and spy on my husband phone but they all failed ontill someone introduced this mario guy to me and he did a great job and got all the evidences I needed before even asked for payments, he is reliable, and trustworthy and his charges is affordable I am sharing this information because I know it’s will be useful for someone out there via, [email protected], and you can text, call him on whatsapp him on +12014305865, or +17736092741,