0
Microsoft har fået nok af den Kinesiske Certifikat Myndigheder (CAs) WoSign og dets datterselskab StartCom er dårlig sikkerhed. Hurtigt, hverken Internet Explorer eller Kant vil genkende nye sikkerheds-certifikater fra enten selskab.
En CA er en betroet enhed, der udsteder X. 509 digitale certifikater for at verificere en digital virksomhedens identitet på internettet. Certifikater indeholder sin ejerens offentlige nøgle og navn, certifikats udløbsdato, krypteringsmetode, og andre oplysninger om den offentlige nøgle ejer. Typisk, disse bruges til at sikre websteder med https-protokollen, lås ned for internet-kommunikation med Secure Sockets Layer og Transport Layer Security (SSL/TLS), sikre virtuelle private netværk (Vpn ‘ er). En beskadiget-certifikatet er næppe bedre end ingen beskyttelse overhovedet. Det kan bruges til nemt at hacke hjemmesider og “privat” internet-kommunikation.
WoSign og StartCom mistet deres ry for pålidelighed over et år siden. I henhold til SSL Labs, senest i oktober 2016, “browser leverandører har mistet tilliden til WoSign ‘s tekniske og ledelsesmæssige kapacitet.’ Hertil kommer, at WoSign er blevet anklaget for uredelighed og fortsatte og vedvarende bedrag.” Desværre, både CAs havde stor installeret brugeren baser, i vid udstrækning, fordi de begge havde tilbudt gratis certifikater.
Mozilla var den første web-browser til at meddele, at det ville “ikke længere har tillid til nyligt udstedte certifikater, der er udstedt af et af disse to CA mærker.” Google, der blev fulgt på i Mozilla ikke længere tillid til, at de CA leverandører ” – certifikater i juli 2017. Chrome security engineer Devon O ‘ Brien sagde Google at gøre dette på grund af “flere episoder, hvor det nøglecenter, der har “ikke [været] i overensstemmelse med de høje standarder, der forventes af CAs.” Apple har også droppet støtte til WoSign certifikater.
Nu har Microsoft sluttede sig til dem i at opgive tillid i deres certifikater. En Microsoft-repræsentant skrev: “Microsoft har konkluderet, at den Kinesiske CAs WoSign og StartCom har undladt at opretholde de standarder, der kræves af vores Trusted Root Program. Observeret uacceptabelt sikkerhed praksis omfatter back-dating SHA-1-certifikater, mis-udstedelser af værdipapirer af certifikater, utilsigtet tilbagekaldte, duplikere certifikat serienummer, og flere CAB Forum basiskrav (BR) [udstedelse og forvaltning af regler for offentlige certifikater] overtrædelser.”
Microsoft vil begynde at “den naturlige underkendelse af WoSign og StartCom certifikater ved at sætte en ‘NotBefore’ dato 26 September 2017. Det betyder, at alle eksisterende certifikater vil fortsætte med at fungere, indtil de selv udløber. Windows 10 vil ikke stole på nogen nye certifikater fra disse CAs-efter September 2017.”
En webbrowser er tilbøjelige til at fortsætte med at have tillid til WoSign certifikater: Opera. Opera blev købt af den Kinesiske konsortium Gyldne Mursten Silk Road i 2016. Gyldne Mursten, til gengæld, er der består af Beijing mobile spil sælger Kunlun Tech og Qihoo 360. Sidstnævnte ejer WoSign og StartCom.
WoSign hævdede, at det ville rydde op i sin handling i et notat i oktober 2016. Det er ikke sket.
Selskabets hjemmeside ignorerer spørgsmålet, “Hvorfor IKKE WoSign? du har brug for en tillid til, at CA spørgsmål browser tillid til SSL-certifikat til dig, WoSign er dit bedste valg. Og WoSign Kina er et af de største digitale certifikat udbyder i Kina, har mere end 70% af markedet i Kina.”
TIDLIGERE OG RELATEREDE DÆKNING
Google guillotinen falder på certifikat myndigheder WoSign, StartCom
Ifølge en Google Grupper-indlæg, der er offentliggjort af Chrome security engineer Devon O ‘ Brien, som følge af “flere episoder, hvor det nøglecenter, der har “ikke [været] i overensstemmelse med de høje standarder, der forventes af CAs,” Google Chrome er allerede begyndt at udfase WoSign og StartCom ved kun at stole certifikater, der er udstedt før den 21 oktober 2016.
Mozilla slår forbud mod WoSign: Firefox falder tilliden over ‘bedrag’
Med start i januar 2017, ethvert websted, der bruger et nyt certifikat fra Qihoo 360-ejet certifikat myndighed WoSign vil have problemer nå Firefox-brugere. Firefox-skaberen Mozilla meddelt, at den vil forbyde nyligt udstedt digitale certifikater fra WoSign og StartCom, en Israel-baseret certifikat myndighed om, at den Kinesiske virksomhed for nylig erhvervet.
0