StartCom und WoSign - Wichtige SSL-Zertifizierungsstellen - Von Google Chrome verboten

Wichtige SSL-Zertifikate von Google Chrome verboten!

In Übereinstimmung mit den Bedingungen einer von Google im Vorjahr angekündigten Bestrafung hat der Webgigant ausgestellt eine Erklärung Es kann TLS- oder SSL-Zertifizierungsstellen nicht mehr vertrauen WoSign sowie seine Tochtergesellschaft, StartCom. Dies geschieht unmittelbar vor dem Start von Chrome 61. Der Grund für dieses Verbot? Laut Google haben die beiden Zertifizierungsstellen die hohen Anforderungen der Zertifizierungsstellen nicht erfüllt.

Obwohl der Umzug schockierend ist, kann er kaum als Überraschung bezeichnet werden, wenn man bedenkt, wie Google vom Sicherheitsteam von GitHub am 17. Benachrichtigungen gesendet hat^th August letzten Jahres, in Bezug auf die Tatsache, dass WoSign - die chinesische Zertifizierungsstelle - einem nicht genannten GitHub-Benutzer ein Basiszertifikat für eine der Domänen von GitHub ausgehändigt hatte, ohne irgendeine Genehmigung zu verlangen.

Warum hat Google die Entscheidung getroffen?

Sobald die Nachricht von diesem Problem bekannt wurde, leitete das Google-Team eine umfassende Untersuchung ein. Diese Untersuchung sollte in Zusammenarbeit mit Mozilla und der größeren Sicherheitsgemeinschaft öffentlich sein. Die Untersuchung ergab sehr bald einige interessante Beweise für verschiedene andere Fälle, die die unzulässige Ausstellung von Zertifikaten seitens WoSign betrafen.

Aufgrund des Ergebnisses der Untersuchung blieb Google keine andere Wahl, als das Vertrauen von Zertifikaten, die von StartCom und WoSign unterstützt wurden, auf Zertifikate zu verringern, die vor dem 21. ausgestellt wurden^st von Oktober letzten Jahres. Darüber hinaus ist der Tech-Riese derzeit dabei, verschiedene Hostnamen auf der Whitelist im Verlauf verschiedener Chrome-Versionen seit Google Chrome 56 zu entfernen.

Laut dem Inhalt eines kürzlich veröffentlichten Google-Posts von Devon O'Brien, einem Sicherheitsingenieur für Chrome, würde das Unternehmen nun endlich die Whitelist aus der neuesten Version von Chrome entfernen. Dies bedeutet, dass Google beschlossen hat, den aktuellen StartCom- und WoSign-Zertifikaten voll und ganz zu misstrauen. Laut O'Brien wird die Whitelist ab Chrome 61 nicht mehr vorhanden sein, was zu einem vollständigen Misstrauen gegenüber vorhandenen Stammzertifikaten von WoSign und StartCom, ihrer Tochtergesellschaft, sowie gegenüber von ihnen ausgestellten Zertifikaten führt.

Laut dem Chromium Development Calender werden alle diese Änderungen, die implementiert wurden, in den nächsten Wochen im Chrome Dev-Kanal sichtbar sein. Der Chrome Beta-Kanal wird diese Änderungen gegen Ende Juli 2017 präsentieren, während die Stable-Version diese Änderungen Mitte September 2017 widerspiegeln wird.

Im vergangenen Jahr haben Mozilla und Apple WoSign ihr Vertrauen entzogen, und es war StartCom, der aufgrund einer Reihe von Verwaltungs- und technischen Fehlern die Zertifikate für ihre Webbrowser ausstellte.

Sie datieren SSL-Zertifikate zurück

Laut Kathleen Wilson, der Leiterin des vertrauenswürdigen Root-Programms für Mozilla, fanden sie Hinweise darauf, dass WoSign und StartCom SSL-Zertifikate zurückdatierten, um einen Weg über die Frist hinaus zu finden, der CAs daran hinderte, SHA-1-SSL-Zertifikate auszustellen nach dem 1^st Dies ist eine sehr schwerwiegende Behauptung und könnte in Zukunft erhebliche Auswirkungen auf die SSL-Zertifizierungsstellen haben.

Das ist jedoch noch nicht alles. Es war Mozilla, der auch entdeckte, dass WoSign eine andere Zertifizierungsstelle namens StartCom in Vollzeit übernommen hatte, diese Informationen jedoch nicht preisgab, obwohl dies in der Mozilla-Richtlinie klar erwähnt wurde.

Probleme mit dem WoSign-Zertifikatsservice reichen bis in den Juli 2015 zurück, und diese Informationen wurden im Vorjahr von Gervase Markham öffentlich bekannt gegeben. Laut dem britischen Mozilla-Programmierer ist ein nicht identifizierter Forscher versehentlich auf diese Sicherheitsaufsicht gestoßen, als er versuchte, ein Zertifikat für „med.ucf.edu“ zu erhalten. Er hatte auch einen Antrag für „www.ucf.ed“ eingereicht und WoSign hatte ihm die Genehmigung erteilt und das Zertifikat für die primäre Domäne der Universität vorgelegt.

Um dies zu testen, verwendete der Sicherheitsforscher denselben Trick für GitHub-basierte Domänen. Er bewies seine Kontrolle über eine Subdomain und schockierend gab ihm WoSign auch das Zertifikat für die Hauptdomains von GitHub.

Ab Ende dieses Jahres ab September 2017 erhalten alle Besucher von Websites, die StartCom- und WoSign-HTTPS-Zertifikate verwenden, Vertrauenswarnungen in ihren Webbrowsern.