Mozilla misstraut chinesischer Certificate Authority

Einem jetzt vorgelegten Bericht zufolge hat WoSign nicht nur falsche Zertifikate für eine GitHub-Subdomain ausgegeben. Es stellte auch rückdatierte Zertifikate mit unsicherem SHA-1-Algorithmus aus und stritt seine Übernahme der israelischen CA StartCom ab.

Mozilla hat seiner Community vorgeschlagen, Zertifikaten der chinesischen Ausgabestelle WoSign für ein Jahr das Vertrauen zu entziehen. Diese hatte falsche Zertifikate für die Code-Hosting-Site GitHub ausgegeben. Auch Zertifikate von StartCom aus Israel möchte der Browserhersteller vorübergehend entwerten. Diese Certificate Authority (CA) wurde im November 2015 von WoSign übernommen, das dies aber zunächst aus unbekannten Gründen geheim hielt.

Mozilla (Bild: Mozilla)Die Sperre wäre für ein Jahr gültig. Anschließend müssten sich WoSign und StartCom neuerlich für das Vertrauensprogramm von Mozilla bewerben. Bestehende Zertifikate will Mozilla aber weiter akzeptieren, da diese sehr verbreitet seien und es ärgerliche Konsequenzen für die unbeteiligten Endanwender vermeiden wolle.

Mozilla hatte den Fall nach einer Querele über ein von WoSign an Unberechtigte ausgegebenes Zertifikat für eine Subdomain von GitHub untersucht. Ein solcher Vorfall gilt als großes Sicherheitsrisiko, weil sich Dritte mit dem Zertifikat als GitHub ausweisen, Verbindungen entführen und Nutzer ausspionieren könnten. Dergleichen geschah nach einem Sicherheitsvorfall bei der niederländischen CA DigiNotar, als falsche Zertifikate für Google-Domains zur Überwachugn von Anwendern aus dem Iran eingesetzt wurden.

Der von Mozilla vorgelegte Bericht rückt aber noch ein anderes Problem in den Mittelpunkt: Nach seinen Erkenntnissen hat WoSign Zertifikate rückdatiert, um eine Blockade in Browsern aufgrund der Verwendung des Hashing-Algorithmus SHA-1 zu umgehen. Unterstützung für SHA-1-Zertifikate läuft in allen großen Browsern zugunsten des Nachfolgers SHA-256 aus, da der alte Algorithmus als anfällig für Fälschungen gilt. Microsofts Browser Internet Explorer und Edge beispielsweise warnen seit dem Anniversary Update für Windows 10 vor SHA-1-Zertifikaten. Ab Februar 2017 sollen sie nicht mehr akzeptiert werden.

Verschlüsselung (Bild: Shutterstock)CAs sind eigentlich verpflichtet, nach dem 1. Januar 2016 keine SHA-1-Zertifikate mehr auszugeben. Mozilla hat aber 62 von WoSign 2016 ausgestellte Zertifikate aufgespürt, die auf Dezember 2015 rückdatiert wurden.

Da CAs als Vertrauensstellen das Rückgrat von Public-Key-Systemen darstellen, müssen sie Änderungen ihrer Besitzverhältnisse offenlegen. WoSign hat aber laut dem Firefox-Anbieter Ende 2015 „direkt abgestritten“, StartCom übernommen zu haben. Inzwischen wird dieser Deal von ihm als 100-prozentige Investition“ dargestellt, es handel sich also um zwei völlig eigenständige Einrichtungen, während Mozilla Hinweise fand, dass StartCom inzwischen WoSigns Infrastruktur nutzt.

Angehörige der Mozilla-Community, aber auch die Öffentlichkeit sind nun eingeladen, den Fall zu kommentieren und eventuelle neue Indizien einzubringen. Offen ist noch, wie schnell sich die angestrebte Sperre in Firefox umsetzen lässt und ob WoSign anschließend ein neues Root-Zertifikat benötigt oder das alte weiter einsetzen kann.

[mit Material von Liam Tung, ZDNet.com]

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Themenseiten: Browser, Firefox, Internet, Kommunikation, Mozilla, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Mozilla misstraut chinesischer Certificate Authority

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *