Sicherheit: Mozilla, Google und Apple misstrauen WoSign und StartCom
Aufgrund einer von Mozilla durchgeführten Untersuchung entziehen Mozilla, Google und Apple künftig in ihren Browsern den SSL-/TLS-Zertifikaten der Zertifizierungsstellen (CA) von WoSign und StartCom das Vertrauen. Mozilla waren im Verhalten von WoSign Unregelmäßigkeiten aufgefallen.
Browserhersteller vertrauen in ihren Browsern verschiedenen Zertifizierungsstellen, damit die Anwender Seiten, die mit Zertifikaten dieser CAs gesichert sind, öffnen können. Dazu gibt es Richtlinien und erprobte Verhaltensweisen, an die sich die CAs halten sollten, wenn sie das Vertrauen der Browserhersteller behalten wollen. Im Fall der chinesischen CA WoSign und deren Tochter-CA StartCom ging dieses Vertrauensverhältnis nun zu Bruch. StartCom bietet unter anderem auch das kostenlose „StartSSL Free“-Zertifikat an.
Google schließt sich Mozilla an
Nachdem Mozilla in einem ausführlichen Dokument die Ergebnisse seiner Untersuchung des Verhaltens der beiden CAs publiziert und bekanntgegeben hatte, den beiden CAs das Vertrauen zu entziehen, schloss sich jetzt auch Google mit Chrome an und vertraut den Zertifikaten der beiden CAs künftig ebenfalls nicht mehr. Eine Kurzfassung der von Mozilla entdeckten Verstöße findet sich im Mozilla Wiki.
Mozilla hatte in den vergangenen Monaten gleich mehrere Verstöße gegen Regeln und etabliertes Verhalten bei WoSign festgestellt. So hatte WoSign im November 2015 das israelische Unternehmen StartCom aufgekauft, ohne dies Mozilla mitzuteilen. Es wurde sogar die Tatsache bis zum Beweis des Gegenteils bestritten. Schließlich konnte Mozilla die Verwendung der gleichen Infrastruktur bei beiden CAs nachweisen.
Viele Regelverstöße
Des Weiteren hat WoSign nachweislich in 64 Fällen Zertifikate zurückdatiert um zu verschleiern, dass diese nach dem 16. Januar 2015 unter Verwendung des SHA1-Algorithmus erstellt wurden und eine Gültigkeit über den 1. Januar 2017 hinaus hatten. Die Verwendung dieser kryptologischer Hashfunktion war wegen nachgewiesener Sicherheitsprobleme nach dem 16. Januar 2015 nicht mehr empfohlen. Außerdem funktionierte die Domain-Validierung nicht zuverlässig. So konnten unberechtigte Personen testweise Zertifikate für github.com, github.io und www.github.io ausstellen.
Qihoo 360, Besitzer von WoSign, hat mittlerweile reagiert und den WoSign-CEO Richard Wang entlassen. Zudem sollen die beiden CAs WoSign und StartCom wieder getrennt werden. Dies reicht aber nicht, um das Vertrauen der Browserhersteller zu restaurieren. Apple hatte bereits Ende September bekannt gegeben, WoSign das Vertrauen zu entziehen. Nun machen auch Mozilla und Google Ernst.
Stichtag 21. Oktober 2016
Firefox 51, der am 24. Januar erwartet wird, akzeptiert keine WoSign- oder StartCom-Zertifikate, die nach dem 21. Oktober 2016 ausgestellt wurden. Rückdatierte Zertifikate werden ungültig. Im März 2017 könnten die Root-Zertifikate der beiden CAs endgültig entfernt werden. Besitzern von Zertifikaten der beiden CAs wird damit Zeit eingeräumt, Zertifikate von vertrauenswürdigen CAs zu erwerben.
Google gab nun in seinem Sicherheits-Blog bekannt, den Zertifikaten der beiden CAs ebenfalls das Vertrauen zu entziehen. Mit dem Erscheinen von Chrome 56 im Januar 2017 werden gleichermaßen keine Zertifikate der beiden CAs, die nach dem 21. Oktober ausgestellt sind, mehr akzeptiert.
Erneute Bewerbung möglich
Sollten Versuche seitens der CAs bekannt werden, diese Sperren zu unterlaufen, führt das zum sofortigen Verlust jeglichen Vertrauens und damit zur Entfernung der Root-Zertifikate. Beide CAs können sich unter Erfüllung von Auflagen ab Mitte 2017 erneut für die Aufnahme in die Zertifikatsprogramme der Browserhersteller bewerben. Eine der Auflagen ist die Trennung von Infrastruktur, Code und Personal bei WoSign und StartCom. Die meisten Kunden von WoSign haben ihren Sitz in China, bei StartCom sitzt die Mehrheit außerhalb des Landes.