0
Microsoft heeft genoeg van de Chinese Certificate authorities (CAs) WoSign en haar dochteronderneming StartCom de slechte beveiliging. Snel, noch Internet Explorer, noch van de Rand zal herkennen van nieuwe beveiligingscertificaten van zowel bedrijf.
Een CA is een vertrouwde instantie die problemen X. 509 digitale certificaten die controleren of een digitale entiteit identiteit op het internet. Certificaten zijn onder meer de eigenaar van een openbare sleutel en een naam, het certificaat vervaldatum, versleuteling en andere informatie over de openbare sleutel van de eigenaar. Typisch, deze worden gebruikt voor het beveiligen van websites met het https-protocol, lock-down communicatie op het internet met Secure Sockets Layer (ssl) en Transport Layer Security (SSL/TLS), en beveiligde virtual private networks (Vpn ‘ s). Een beschadigd certificaat is nauwelijks beter dan geen bescherming. Het kan worden gebruikt om eenvoudig hacken van websites en het “eigen” internet communicatie.
WoSign en StartCom verloren hun reputatie voor betrouwbaarheid dan een jaar geleden. Volgens de SSL-Labs, oktober 2016, “browser leveranciers hebben verloren vertrouwen in WoSign de ‘technische en management.’ Daarnaast WoSign is beschuldigd van oneerlijkheid en aanhoudende en hardnekkige bedrog.” Helaas, zowel de CAs had grote geïnstalleerd gebruiker basen, vooral omdat beide waren gratis aangeboden certificaten.
Mozilla was de eerste web browser bedrijf aan te kondigen dat het zou “niet langer vertrouwen op nieuw uitgegeven certificaten uitgegeven door een van deze twee CA merken.” Google gevolgd Mozilla niet langer het vertrouwen van de CA leveranciers certificaten in juli 2017. Chrome security engineer Devon O ‘ Brien zei Google was dit te doen, omdat “een aantal incidenten” waarbij de certificaat autoriteit die “niet [is] in overeenstemming met de hoge eisen die worden verwacht van CAs.” Apple heeft ook gedaald ondersteuning voor WoSign certificaten.
Nu heeft Microsoft zich bij hen intrekken van en het vertrouwen in hun certificaten. Een vertegenwoordiger van Microsoft, schreef: “Microsoft heeft geconcludeerd dat de Chinese CAs WoSign en StartCom niet in geslaagd is om de normen die door onze Vertrouwde Root-Programma. Waargenomen onaanvaardbaar beveiliging, back-dating SHA-1 certificaten, mis-uitgiften van certificaten, per ongeluk een certificaat heeft ingetrokken, dubbele certificate serial nummers, en meerdere CAB Forum basisvereisten (BR) [de uitgifte en de regels voor het beheer van de openbare certificaten] overtredingen.”
Microsoft start “de natuurlijke afschrijving van WoSign en StartCom certificaten door het instellen van een ‘NotBefore’ datum van 26 September 2017. Dit betekent dat alle bestaande certificaten zullen blijven werken totdat ze zelf vervallen. Windows 10 zal niet vertrouwen geen nieuwe certificaten van deze CAs na September 2017.”
Een webbrowser is waarschijnlijk nog vertrouwen in WoSign certificaten: Opera. De Opera werd gekocht door het Chinese consortium Gouden Baksteen zijderoute in 2016. Gouden Baksteen, op zijn beurt, is gemaakt van Beijing mobiele games verkoper Kunlun Tech en Qihoo 360. De laatste eigenaar van WoSign en StartCom.
WoSign beweerd dat het zou schoon zijn handelen in een memo in oktober 2016. Dat is niet gebeurd.
De website van het bedrijf negeert het probleem, “Waarom NIET WoSign? u moet een vertrouwde CERTIFICERINGSINSTANTIE browser vertrouwde SSL certificaat voor u, WoSign is uw beste keuze. En WoSign China is een van de grootste digitale certificaat provider in China, heeft meer dan 70 procent van het marktaandeel in China.”
VORIGE EN AANVERWANTE DEKKING
Google guillotine valt op certificaat autoriteiten WoSign, StartCom
Volgens een Google-Groepen bericht geplaatst door Chrome security engineer Devon O ‘Brien, vanwege verschillende incidenten” waarbij de certificaat autoriteit die “niet [is] in overeenstemming met de hoge eisen die worden verwacht van CAs,” Google Chrome is al begonnen met het uitfaseren van WoSign en StartCom door alleen te vertrouwen certificaten afgegeven vóór 21 oktober 2016.
Mozilla slaat verbod op WoSign: Firefox daalt het vertrouwen over ‘misleiding’
Vanaf januari 2017, een website met behulp van een nieuw certificaat van Qihoo 360-eigendom certificaat autoriteit WoSign zal hebben problemen het bereiken van gebruikers van Firefox. Firefox-maker Mozilla aangekondigd dat het verbod nieuw uitgegeven digitale certificaten van WoSign en StartCom, een israëlische certificeringsinstantie die het Chinese bedrijf onlangs verworven.
0