Mozilla hat seiner Community vorgeschlagen, Zertifikaten der chinesischen Ausgabestelle WoSign für ein Jahr das Vertrauen zu entziehen. Diese hatte falsche Zertifikate für die Code-Hosting-Site GitHub ausgegeben. Auch Zertifikate von StartCom aus Israel möchte der Browserhersteller vorübergehend entwerten. Diese Certificate Authority (CA) wurde im November 2015 von WoSign übernommen, das dies aber zunächst aus unbekannten Gründen geheim hielt.
Mozilla hatte den Fall nach einer Querele über ein von WoSign an Unberechtigte ausgegebenes Zertifikat für eine Subdomain von GitHub untersucht. Ein solcher Vorfall gilt als großes Sicherheitsrisiko, weil sich Dritte mit dem Zertifikat als GitHub ausweisen, Verbindungen entführen und Nutzer ausspionieren könnten. Dergleichen geschah nach einem Sicherheitsvorfall bei der niederländischen CA DigiNotar, als falsche Zertifikate für Google-Domains zur Überwachugn von Anwendern aus dem Iran eingesetzt wurden.
Der von Mozilla vorgelegte Bericht rückt aber noch ein anderes Problem in den Mittelpunkt: Nach seinen Erkenntnissen hat WoSign Zertifikate rückdatiert, um eine Blockade in Browsern aufgrund der Verwendung des Hashing-Algorithmus SHA-1 zu umgehen. Unterstützung für SHA-1-Zertifikate läuft in allen großen Browsern zugunsten des Nachfolgers SHA-256 aus, da der alte Algorithmus als anfällig für Fälschungen gilt. Microsofts Browser Internet Explorer und Edge beispielsweise warnen seit dem Anniversary Update für Windows 10 vor SHA-1-Zertifikaten. Ab Februar 2017 sollen sie nicht mehr akzeptiert werden.
Da CAs als Vertrauensstellen das Rückgrat von Public-Key-Systemen darstellen, müssen sie Änderungen ihrer Besitzverhältnisse offenlegen. WoSign hat aber laut dem Firefox-Anbieter Ende 2015 „direkt abgestritten“, StartCom übernommen zu haben. Inzwischen wird dieser Deal von ihm als 100-prozentige Investition“ dargestellt, es handel sich also um zwei völlig eigenständige Einrichtungen, während Mozilla Hinweise fand, dass StartCom inzwischen WoSigns Infrastruktur nutzt.
Angehörige der Mozilla-Community, aber auch die Öffentlichkeit sind nun eingeladen, den Fall zu kommentieren und eventuelle neue Indizien einzubringen. Offen ist noch, wie schnell sich die angestrebte Sperre in Firefox umsetzen lässt und ob WoSign anschließend ein neues Root-Zertifikat benötigt oder das alte weiter einsetzen kann.
[mit Material von Liam Tung, ZDNet.com]
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…