0
Microsoft har fått nog av den Kinesiska certifikatutfärdare (CAs) WoSign och dess dotterbolag StartCom är dålig säkerhet. Snart, inte heller Internet Explorer eller Edge kommer att känna igen nya säkerhetscertifikat från antingen företag.
En CA är en pålitlig enhet som utfärdar X. 509 digitala certifikat för att verifiera en digital enhet identitet på internet. Certifikat inkluderar ägarens offentliga nyckel och namn, certifikatet är giltigt, krypteringsmetod, och annan information om den offentliga nyckeln ägare. Typiskt, dessa används för att säkra webbplatser med https-protokollet, låsa internet kommunikation med Secure Sockets Layer) och Transport Layer Security (SSL/TLS), och säkra virtuella privata nätverk (Vpn). En skadad certifikat är knappt bättre än inget skydd alls. Det kan enkelt användas för att hacka hemsidor och “eget” internet-kommunikation.
WoSign och StartCom förlorat sitt rykte för tillförlitlighet för över ett år sedan. Enligt SSL-Labs, i oktober 2016, “browser leverantörer har förlorat förtroende i WoSign” teknisk och administrativ kapacitet.’ Dessutom WoSign har blivit anklagad för falskhet och fortsatte och ihållande bedrägeri.” Tyvärr, både CAs-hade stora installerade grunder, till stor del för att båda hade erbjudit gratis certifikat.
Mozilla var den första webbläsaren företag att tillkännage att det skulle “inte längre lita nyligen utfärdade certifikat som utfärdats av något av dessa två CA varumärken.” Google följde i Mozilla inte längre litar på CA leverantörers certifikat i juli 2017. Krom säkerhet ingenjör Devon O ‘ Brien sagt att Google gör detta för att “flera incidenter” med den certifikatutfärdare som har “inte [har] i linje med de höga standarder som förväntas av CAs.” Apple har även tagit bort stödet för WoSign certifikat.
Nu har Microsoft gått med dem i att överge förtroende i sina intyg. En Microsoft-representant skrev: “Microsoft har kommit fram till att den Kinesiska CAs-WoSign och StartCom har misslyckats med att upprätthålla de normer som krävs av våra Betrodda rotcertifikat Program. Observerat oacceptabelt säkerhet metoder är tillbaka-dating SHA-1-certifikat, mis-emissioner av certifikat, oavsiktlig återkallade certifikat, dubbla serienummer för certifikat och flera CAB Forum grundläggande Krav (BR) [utfärdande och hantering regler för offentlig certifikat] kränkningar.”
Microsoft kommer att börja “den naturliga avskrivningar av WoSign och StartCom certifikat genom att fastställa en “NotBefore” datum 26 September 2017. Detta innebär att alla befintliga certifikat kommer att fortsätta fungera tills de själva löper ut. Windows-10 kommer inte att lita på nya certifikat från dessa CAs efter September 2017.”
En webbläsare är sannolikt att fortsätta att lita på WoSign certifikat: Opera. Opera köptes av den Kinesiska konsortiet Golden Tegel Silk Road 2016. Golden Tegel, i sin tur, består av Peking mobila spel säljaren Kunlun Tech och Qihoo 360. Den senare äger WoSign och StartCom.
WoSign hävdade att man skulle städa upp sitt lag i en promemoria i oktober 2016. Det har inte hänt.
Företagets webbplats ignorerar frågan, “Varför INTE WoSign? du behöver en betrodd certifikatutfärdare för att fråga webbläsare betrodda certifikat för SSL för dig, WoSign är ditt bästa val. Och WoSign Kina är ett av de största digitala certifikat leverantör i Kina, har mer än 70 procent av marknaden i Kina.”
TIDIGARE OCH RELATERADE TÄCKNING
Google giljotinen faller på certifikatutfärdare WoSign, StartCom
Enligt en Google-Grupper inlägg som publiceras av Krom säkerhet ingenjör Devon O ‘ Brien, på grund av att “flera incidenter” med den certifikatutfärdare som har “inte [har] i linje med de höga standarder som förväntas av CAs,” Google Chrome har redan börjat fasa ut WoSign och StartCom genom att bara lita på certifikat som har utfärdats före den 21 oktober 2016.
Mozilla slår förbud mot WoSign: Firefox droppar förtroende över ‘bedrägeri’
Från och med januari 2017, en webbplats med hjälp av ett nytt certifikat från Qihoo 360-ägda certificate authority WoSign kommer att ha problem att nå Firefox-användare. Firefox-maker Mozilla meddelade att det kommer att förbjuda nyemitterade digitala certifikat från WoSign och StartCom, en Israel-baserad certifikatutfärdare som det Kinesiska företaget nyligen förvärvade.
0