WoSign und StartCom: Zertifizierungsstellen schießen sich ins Aus

Apple greift durch, Mozilla überlegt noch: die Zertifizierungsstellen WoSign und StartCom verschwinden aus dem Truststore von MacOS und iOS. Während die Mozilla-Entwickler harsch kritisieren, wird Apple den CAs aufgrund der Vergabepraxis nicht mehr vertrauen.

Verfehlungen von WoSign und StartCom

Die aus China stammende Zertifizierungsstelle (certificate authority, CA) WoSign machte Anfang September Negativ-Schlagzeilen mit regelwidrig ausgestellten SSL/TLS-Zertifikaten. WoSign folgt dem aktuellen Trend der Mitbewerber StartSSL sowie LetsEncrypt und gibt kostenfreie Zertifikate aus. Sämtliche Browser akzeptieren sie bislang ohne Warnungen.

Letzteres könnte sich bald ändern. Mozilla hat im hauseigenen Wiki eine lange Reihe an Verfehlungen der CA veröffentlicht. WoSign brachte es unter anderem tatsächlich fertig, unsichere SHA-1-Zertifikate regelwidrig zurückzudatieren, um sie so gültig zu machen. Standards, die zur Zertifikatsausstellung einfach dazu gehören, wurden von der CA gekonnt ignoriert.

Apple reagiert prompt

Apple lässt direkt Taten folgen: Zertifikaten von WoSign wird weder unter MacOS noch unter iOS Vertrauen entgegengebracht. Auch Mozilla scheint für WoSign nebst israelischem Ableger StartCom nicht mehr viel Vertrauen übrig zu haben: für mindestens ein Jahr möchte der Entwickler den CAs nicht mehr vertrauen.

Warum der Groll auf StartCom?

Warum die Praktiken von WoSign auch auf StartCom zurückfallen? Das liegt an den zusammenhängenden Strukturen: Als WoSign die Kostenlos-CA StartCom übernahm, wollte WoSign das zunächst nicht zugeben. WoSign ist zwar überzeugt, dass diese Übernahme an StartCom und seinen Praktiken nichts ändere, jedoch musste Mozilla feststellen, dass Teile der technischen Infrastruktur beider CAs identisch sind.

WoSign und StartCom: wie geht es weiter?

Apple wird mit dem kommenden Release dem „CA Free SSL Certficate G2 intermediate CA“-Zertifikat das Vertrauen entziehen. Bislang ist noch unklar, ob dies ausschließlich für die kostenfreien Zertifikate beider CAs gilt und EV-Zertifikate gültig bleiben oder ob alle Zertifikate beider CAs betroffen sind.

Schon ausgestellte Zertifikate werden ihre Gültigkeit behalten, wenn die Zertifikate vor 19.09.2016 in den Serverlogs des CT-Projekts („CT“ – Certificate Transparency, weitere Infos hier) registriert waren. Gültigkeit besteht bis zum Ablauf oder bis zum Rückruf durch den Besitzer. Weiter behält sich Apple vor, Zertifikaten in Einzelfallentscheidungen das Vertrauen zu entziehen. Zu einer möglichen Wiederaufnahme hat sich Apple bislang nicht geäußert.

Vertrauenswürdige CAs: auf Nummer Sicher gehen

CNNIC signierte falsche Google-Zertifikate, SSL-Zertifikate von CloudFlare wurden für Phishing missbraucht und nun entzieht mindestens Apple, wahrscheinlich aber auch bald Mozilla (und Google wird mit Chrome höchstwahrscheinlich folgen) WoSign und StartCom das Vertrauen.

Es ist auffällig, dass sich seit geraumer Zeit die Meldungen über CAs, die nicht mehr vertrauenswürdig sind, häufen. Deshalb haben wir Ihnen erläutert, wie Sie eine vertrauenswürdige CA erkennen können.

Als Nutzer müssen Sie sich darauf verlassen können, dass die von Ihnen ausgewählte CA auch morgen noch als vertrauenswürdig gilt. Für vertrauliche Kommunikation per E-Mail können wir Ihnen deshalb S/MIME ans Herz legen. S/MIME sorgt dafür, dass …

• … E-Mail-Inhalte nicht manipuliert werden können,
• … der Ursprung der Nachricht nachgewiesen werden kann,
• … der E-Mail-Inhalt bloßgelegt werden kann.

Weiter ist S/MIME Wegweiser für flexible, sichere Kommunikation und lässt sich einfach implementieren. Unser wichtigster Rat jedoch lautet: lassen Sie sich bitte beraten, bevor Sie sich für ein Zertifikat entscheiden. Unsere Experten haben ein offenes Ohr für Ihre Belange und mit über 15 Jahren Erfahrung im Security-Bereich im Gepäck sind wir sicher, Ihnen das richtige Zertifikat für Ihre Zwecke anbieten zu können! Kontaktieren Sie uns jetzt.