Mozilla hat seiner Community vorgeschlagen, Zertifikaten der chinesischen Ausgabestelle WoSign für ein Jahr das Vertrauen zu entziehen. Diese hatte falsche Zertifikate für die Code-Hosting-Site GitHub ausgegeben. Auch Zertifikate von StartCom aus Israel möchte der Browserhersteller vorübergehend entwerten. Diese Certificate Authority (CA) wurde im November 2015 von WoSign übernommen, das dies aber zunächst aus unbekannten Gründen geheim hielt.
Mozilla hatte den Fall nach einer Querele über ein von WoSign an Unberechtigte ausgegebenes Zertifikat für eine Subdomain von GitHub untersucht. Ein solcher Vorfall gilt als großes Sicherheitsrisiko, weil sich Dritte mit dem Zertifikat als GitHub ausweisen, Verbindungen entführen und Nutzer ausspionieren könnten. Dergleichen geschah nach einem Sicherheitsvorfall bei der niederländischen CA DigiNotar, als falsche Zertifikate für Google-Domains zur Überwachugn von Anwendern aus dem Iran eingesetzt wurden.
Der von Mozilla vorgelegte Bericht rückt aber noch ein anderes Problem in den Mittelpunkt: Nach seinen Erkenntnissen hat WoSign Zertifikate rückdatiert, um eine Blockade in Browsern aufgrund der Verwendung des Hashing-Algorithmus SHA-1 zu umgehen. Unterstützung für SHA-1-Zertifikate läuft in allen großen Browsern zugunsten des Nachfolgers SHA-256 aus, da der alte Algorithmus als anfällig für Fälschungen gilt. Microsofts Browser Internet Explorer und Edge beispielsweise warnen seit dem Anniversary Update für Windows 10 vor SHA-1-Zertifikaten. Ab Februar 2017 sollen sie nicht mehr akzeptiert werden.
Da CAs als Vertrauensstellen das Rückgrat von Public-Key-Systemen darstellen, müssen sie Änderungen ihrer Besitzverhältnisse offenlegen. WoSign hat aber laut dem Firefox-Anbieter Ende 2015 „direkt abgestritten“, StartCom übernommen zu haben. Inzwischen wird dieser Deal von ihm als 100-prozentige Investition“ dargestellt, es handel sich also um zwei völlig eigenständige Einrichtungen, während Mozilla Hinweise fand, dass StartCom inzwischen WoSigns Infrastruktur nutzt.
Angehörige der Mozilla-Community, aber auch die Öffentlichkeit sind nun eingeladen, den Fall zu kommentieren und eventuelle neue Indizien einzubringen. Offen ist noch, wie schnell sich die angestrebte Sperre in Firefox umsetzen lässt und ob WoSign anschließend ein neues Root-Zertifikat benötigt oder das alte weiter einsetzen kann.
[mit Material von Liam Tung, ZDNet.com]
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…