0
Microsoft ha avuto abbastanza di Cinese Autorità di certificazione (Ca) WoSign e la sua controllata StartCom poveri di sicurezza. Presto, né Internet Explorer né un Bordo di riconoscere nuovi certificati di sicurezza da entrambe le società.
Un CA è un’entità affidabile che problemi X. 509 certificati digitali verificare digitale entità identità su internet. Certificati del suo proprietario della chiave pubblica e nome, la data di scadenza del certificato, il metodo di crittografia, e altre informazioni sulla chiave pubblica del proprietario. In genere, questi vengono utilizzati per proteggere i siti web con il protocollo https, bloccare le comunicazioni internet con Secure Sockets Layer e Transport Layer Security (SSL/TLS), e sicuro di reti private virtuali (Vpn). Un certificato danneggiato è appena meglio di nessuna protezione. Può essere utilizzato per incidere facilmente i siti web e “privato” di comunicazione di internet.
WoSign e StartCom perso la loro reputazione di affidabilità più di un anno fa. Secondo il sistema SSL Labs, a ottobre del 2016, “i produttori di browser hanno perso la fiducia nella WoSign ‘tecnica e capacità di gestione.’ Inoltre, WoSign è stato accusato di disonestà e continua e persistente l’inganno”. Purtroppo, entrambi i CAs aveva grandi installato utente basi, in gran parte perché entrambi avevano offerto gratuitamente a tutti i certificati.
Mozilla è stato il primo browser web azienda ad annunciare che avrebbe “non più la fiducia di nuova emissione di certificati emessi da uno di questi due CA marche.” Google seguita Mozilla non più confidando CA fornitori certificati nel luglio del 2017. Chrome security engineer Devon O’Brien ha detto che Google stava facendo questo a causa di “una serie di incidenti” che coinvolge l’autorità di certificazione che “non [stato] in linea con gli alti standard previsto di CAs.” Apple ha anche eliminato il supporto per WoSign certificati.
Ora, Microsoft è unito a loro per l’abbandono di fiducia nei certificati. Un rappresentante di Microsoft ha scritto: “Microsoft ha concluso che i Cinesi CAs WoSign e StartCom non sono riusciti a mantenere gli standard richiesti dai nostri Fidati Principale del Programma. Osservato protezione inaccettabili pratiche di back-incontri SHA-1 certificati, mis-emissioni di certificati, accidentale della revoca dei certificati, duplicati certificato di numeri di serie, e più CAB Forum di Requisiti di base (BR) [emissione e la gestione delle regole per i certificati pubblici] violazioni.”
Microsoft inizierà “la naturale obsolescenza di WoSign e StartCom certificati impostando un ‘NotBefore’ la data del 26 settembre 2017. Questo significa che tutti i certificati esistenti continueranno a funzionare fino a che non si auto-scadenza. Windows 10 non fidarsi di nuovo di certificati da parte di questi CAs dopo settembre 2017.”
Un browser web è probabile che continuare a confidare WoSign certificati: l’Opera lirica. L’Opera è stata acquistata dal consorzio Cinese Mattone d’Oro via della Seta nel 2016. Mattone d’oro, a sua volta, si compone di Pechino giochi mobile fornitore di Kunlun Tech e Qihoo 360. Quest’ultimo possiede WoSign e StartCom.
WoSign ha sostenuto che non si sarebbe ripulire il suo atto in una nota in ottobre 2016. Questo non è successo.
Il sito web della società ignora il problema, “Perché NON WoSign? avete bisogno di un’autorità di certificazione attendibile al problema del browser di fiducia certificato SSL per voi, WoSign è la scelta migliore. E WoSign la Cina è uno dei più grandi certificato digitale fornitore in Cina, ha più di 70 per cento di quota di mercato in Cina.”
PRECEDENTE E RELATIVA COPERTURA
Google ghigliottina cade su autorità di certificazione WoSign, StartCom
Secondo Google Gruppi post pubblicato da Chrome security engineer Devon O’Brien, a causa di “una serie di incidenti” che coinvolge l’autorità di certificazione che “non [stato] in linea con gli alti standard previsto di CAs”, Google Chrome ha già iniziato phasing out WoSign e StartCom da solo confidando certificati rilasciati prima del 21 ottobre, 2016.
Mozilla schiaffi divieto WoSign: Firefox gocce di fiducia su “l’inganno”
A partire da gennaio 2017, di qualsiasi sito web utilizzando un nuovo certificato da Qihoo 360 di proprietà di autorità di certificazione WoSign avrà dei problemi di raggiungere gli utenti di Firefox. Firefox-maker Mozilla ha annunciato il divieto di nuova emissione di certificati digitali da WoSign e StartCom, Israele, autorità di certificazione basato su che la ditta Cinese ha recentemente acquisito.
0