Domain SSL: WoSign reagiert auf Sicherheitslücken

5. September 2016 | Von | Kategorie: Domain News, Domain-Tools

Chinesische Zertifizierungsstelle WoSign in der Kritik

Eine regelwidrige Ausstellung von Domain SSL Zertifikaten hat international heftige Kritik ausgelöst. Gleich zweimal soll die chinesische CA WoSign kostenlose SSL-Zertifizierungen ausgestellt haben, bei denen Unrechtmäßigkeiten aufgefallen sind. Wie auch andere CA werden die Zertifizierungen von WoSign von allen großen Browsern akzeptiert, was die Fehltritte umso schwerwiegender macht. Mozilla hat die Unregelmäßigkeiten öffentlich gemacht und denkt nun über rechtliche Schritte gegen die Zertifizierungsstelle nach.

Fehler ohne Kommentare und Korrekturen
Bereits vor einem Jahr hatte WoSign ein SSL Zertifikat für die Domain github.io ausgestellt. Es stellte sich im Nachhinein heraus, dass GitHub den Usern Subdomain zur Nutzung überlässt. Da die CA die Subdomains nicht überprüft hatte, hätte die Zertifizierung der Hauptdomain zumindest ausgesetzt werden müssen. Github.info hätte auch später kein SSL Zertifikat erhalten dürfen. Ein Sicherheitsforscher hatte eine entsprechende Subdomain mit Zertifikat entdeckt und die Sicherheitslücke an WoSign gemeldet – doch passiert war nichts. Die CA hatte weder die Browser-Betreiber informiert, noch alle 33 auf die Subdomains ausgestellten Zertifikate gelöscht. Die Löschung wurde erst nach merklichem Druck der Browser-Betreiber vorgenommen.

In dem zweiten dokumentierten Vorfall konnte ein IT-Experte über unprivilegierte Ports Sicherheitszertifikate von WoSign ausstellen lassen, ohne die Administratoren Rechte zu haben. In der Demonstration wurde die Zertifizierung noch 71 Mal wiederholt, ohne dass die Browserhersteller davon Kenntnis bekamen. WoSign hatte die Fehler und Fehlerquellen also bewusst nicht gemeldet.

Zusammenarbeit mit StartCom?
Mozilla bemängelt, dass Nutzer über StartCom auch Zertifizierungen von WoSign beantragen können. Ob WoSign StartCom übernommen hat, ist nicht bekannt, doch Mozilla übt Kritik an der CA, denn auch StartCom war erst vor wegen relevanten Sicherheitslücken im kostenfreien Zertifizierungsprogramm StartEncrypt negativ aufgefallen.

Jetzt scheint sich die chinesische CA um Besserung zu bemühen. Seit zwei Monaten nimmt WoSign am Certifikate Transparency Programme teil und meldet alle Zertifikate an Google. Dieses Vorgehen nehmen Sicherheitsforscher wohlwollend zur Kenntnis und auch Mozilla wartet anscheinend ab, wie sich der „Fall“ entwickelt.

 

Schreibe einen Kommentar