Zertifizierungsstelle auf Abwegen
Mozilla und Apple wenden sich von WoSign ab
von
Stefan
Bordel - 06.10.2016
Zwielichtige Praktiken der chinesischen Zertifizierungsstelle WoSign und derem israelischen Ableger StartCom haben zu scharfer Kritik seitens Mozilla und Apple geführt. Der iPhone-Konzern hat den Zertifikaten der Unternehmen sogar das Vertrauen entzogen.
Web-Zertifikate dienen im Normalfall dazu, die sichere Nutzung von Online-Diensten zu gewährleisten. Wird allerdings bereits beim Aussteller der Zertifikate geschlampt, ist das ganze Sicherheitskonzept hinfällig. Genau dies soll bei der chinesischen Zertifizierungsstelle WoSign und derem israelischen Ableger StartCom aufgetreten sein. Mozilla und Apple ziehen nun erste Konsequenten aus dem Fiasko und gehen gegen WoSign und StartCom vor.
Während der Firefox-Entwickler in einer ausführlichen Kritik (GoogleDoc) die Verfehlungen des chinesischen Unternehmens aufzeigt und derzeit eine mögliche Blockade von deren Zertifikaten erwägt, ist Apple schon einen Schritt weiter. Mit dem kommenden Sicherheitsupdate sollen neuen Zertifikaten von WoSign und StartCom das Vertrauen in iOS und MacOS entzogen werden.
Vor allem die regelwidrige Ausstellung von zurückdatierten SHA-1-Zertifikaten wird den Unternehmen zur Last gelegt. Dadurch können die Zertifikate trotz des veralteten Standards immer noch eingesetzt werden, obwohl ein SHA-256-Algorithmus heutzutage erforderlich ist. Hinzu komme außerdem das Stillschweigen der Chinesen über die StartCom-Akquisition. So sollen beide Unternehmen bereits teilweise eine gemeinsame Infrastruktur nutzen. Gerade für eine Zertifizierungsstelle, die um Transparenz bemüht sein sollte, ist dies kein tragbares Vorgehen.
WoSign unterwandert das System des Vertrauens
Der Sicherheitsexperte Kevin Bocek von Venafi kann das Vorgehen von Apple und Mozilla nachvollziehen und fordert auch andere große Player zum Handeln auf: "WoSign und StartCom unterwandern das weltweite System des Vertrauens, das etwa für den E-Commerce unabdingbar ist und das dafür sorgt, dass wir Software und Daten von Webseiten herunterladen können, ohne uns über Schadsoftware Sorgen machen zu müssen. Mozilla und Apple haben daher die richtigen Schritte unternommen und WoSign und StartCom geblockt. Jetzt sind Microsoft und Google dran."
Sollte Mozilla dem Beispiel von Apple folgen, dürfte es ohnehin nur eine Frage der Zeit sein, bis auch Google Chrome und Microsofts Edge-Browser die Zertifikate von WoSign und StartCom blockieren.
Welche Gefahren ein unvorsichtiger Umgang mit Verschlüsselung und Zertifikaten birgt, erfahren Sie in unserem Beitrag "Die dunkle Seite der Verschlüsselung".
