Apple greift durch, Mozilla \u00fcberlegt noch: die Zertifizierungsstellen WoSign und StartCom verschwinden aus dem Truststore von MacOS und iOS. W\u00e4hrend die Mozilla-Entwickler harsch kritisieren, wird Apple den CAs aufgrund der Vergabepraxis nicht mehr vertrauen.<\/p>\n
Die aus China stammende Zertifizierungsstelle (certificate authority, CA) WoSign machte Anfang September Negativ-Schlagzeilen<\/a> mit regelwidrig ausgestellten SSL\/TLS-Zertifikaten. WoSign folgt dem aktuellen Trend der Mitbewerber StartSSL sowie LetsEncrypt und gibt kostenfreie Zertifikate aus. S\u00e4mtliche Browser akzeptieren sie bislang ohne Warnungen.<\/p>\n Letzteres k\u00f6nnte sich bald \u00e4ndern. Mozilla hat im hauseigenen Wiki<\/a> eine lange Reihe an Verfehlungen der CA ver\u00f6ffentlicht. WoSign brachte es unter anderem tats\u00e4chlich fertig, unsichere SHA-1-Zertifikate regelwidrig zur\u00fcckzudatieren, um sie so g\u00fcltig zu machen. Standards, die zur Zertifikatsausstellung einfach dazu geh\u00f6ren, wurden von der CA gekonnt ignoriert.<\/p>\n Apple l\u00e4sst direkt Taten folgen: Zertifikaten von WoSign wird weder unter MacOS<\/a> noch unter iOS<\/a> Vertrauen entgegengebracht. Auch Mozilla scheint f\u00fcr WoSign nebst israelischem Ableger StartCom nicht mehr viel Vertrauen \u00fcbrig zu haben: f\u00fcr mindestens ein Jahr m\u00f6chte der Entwickler den CAs nicht mehr vertrauen<\/a>.<\/p>\n Warum die Praktiken von WoSign auch auf StartCom zur\u00fcckfallen? Das liegt an den zusammenh\u00e4ngenden Strukturen: Als WoSign die Kostenlos-CA StartCom \u00fcbernahm, wollte WoSign das zun\u00e4chst nicht zugeben. WoSign ist zwar \u00fcberzeugt, dass diese \u00dcbernahme an StartCom und seinen Praktiken nichts \u00e4ndere, jedoch musste Mozilla feststellen, dass Teile der technischen Infrastruktur beider CAs identisch sind.<\/p>\n Apple wird mit dem kommenden Release dem „CA Free SSL Certficate G2 intermediate CA“-Zertifikat das Vertrauen entziehen. Bislang ist noch unklar, ob dies ausschlie\u00dflich f\u00fcr die kostenfreien Zertifikate beider CAs gilt und EV-Zertifikate g\u00fcltig bleiben oder ob alle Zertifikate beider CAs betroffen sind.<\/p>\n Schon ausgestellte Zertifikate werden ihre G\u00fcltigkeit behalten, wenn die Zertifikate vor 19.09.2016 in den Serverlogs des CT-Projekts („CT“ \u2013 Certificate Transparency, weitere Infos hier<\/a>) registriert waren. G\u00fcltigkeit besteht bis zum Ablauf oder bis zum R\u00fcckruf durch den Besitzer. Weiter beh\u00e4lt sich Apple vor, Zertifikaten in Einzelfallentscheidungen das Vertrauen zu entziehen. Zu einer m\u00f6glichen Wiederaufnahme hat sich Apple bislang nicht ge\u00e4u\u00dfert.<\/p>\n CNNIC signierte falsche Google-Zertifikate<\/a>, SSL-Zertifikate von CloudFlare wurden f\u00fcr Phishing missbraucht<\/a> und nun entzieht mindestens Apple, wahrscheinlich aber auch bald Mozilla (und Google wird mit Chrome h\u00f6chstwahrscheinlich folgen) WoSign und StartCom das Vertrauen.<\/p>\n Es ist auff\u00e4llig, dass sich seit geraumer Zeit die Meldungen \u00fcber CAs, die nicht mehr vertrauensw\u00fcrdig sind, h\u00e4ufen. Deshalb haben wir Ihnen erl\u00e4utert, wie Sie eine vertrauensw\u00fcrdige CA erkennen k\u00f6nnen<\/a>.<\/p>\n Als Nutzer m\u00fcssen Sie sich darauf verlassen k\u00f6nnen, dass die von Ihnen ausgew\u00e4hlte CA auch morgen noch als vertrauensw\u00fcrdig gilt. F\u00fcr vertrauliche Kommunikation per E-Mail k\u00f6nnen wir Ihnen deshalb S\/MIME<\/a> ans Herz legen. S\/MIME sorgt daf\u00fcr, dass …<\/p>\n Weiter ist S\/MIME Wegweiser f\u00fcr flexible, sichere Kommunikation und l\u00e4sst sich einfach implementieren. Unser wichtigster Rat jedoch lautet: lassen Sie sich bitte beraten, bevor Sie sich f\u00fcr ein Zertifikat entscheiden. Unsere Experten haben ein offenes Ohr f\u00fcr Ihre Belange und mit \u00fcber 15 Jahren Erfahrung im Security-Bereich im Gep\u00e4ck sind wir sicher, Ihnen das richtige Zertifikat f\u00fcr Ihre Zwecke anbieten zu k\u00f6nnen! Kontaktieren Sie uns jetzt<\/a>.<\/p>\nApple reagiert prompt<\/h3>\n
Warum der Groll auf StartCom?<\/h3>\n
WoSign und StartCom: wie geht es weiter?<\/h3>\n
Vertrauensw\u00fcrdige CAs: auf Nummer Sicher gehen<\/h3>\n
\n