Audit von Let's Encrypt aufgetaucht
Let's Encrypt geriet in die Kritik, da die vorgeschriebene Sicherheitsprüfung noch nicht vorlag, die CA aber schon Zertifikate ausstellte. Nun sind die Audit-Berichte plötzlich online einsehbar.
Die Zertifizierungsstelle Let's Encrypt hat die Prüfungsberichte (Audit) veröffentlicht, die das Unternehmen BrightLine ausgestellt hat. Somit erfüllt die Zertifizierungsstelle nun die Spielregeln des CA/Browser-Forums, in dem alle Root-CAs organisiert sind, und darf offiziell Zertifikate ausstellen.
Let's Encrypt war in die Kritik geraten, weil die vorgeschriebene Sicherheitsprüfung bis vor kurzem noch nicht vorlag, die CA aber schon fleißig Zertifikate verteilte. Das sorgte für Misstrauen, da die Grundlage des CA-Systems auf Audits und Regeln fußt, die die CAs fristgerecht einhalten müssen.
Audit seit September abgeschlossen
Seltsam mutet an, dass Let's Encrypt die Berichte erst jetzt veröffentlicht, denn die Prüfungsberichte sind vom 9. September 2015. Zudem war das vollständige Audit ursprünglich für den November angekündigt. Weder BrightLine noch Let's Encrypt hatten auf eine Anfrage von heise online bezüglich des Audits, die anscheinend seit September dieses Jahres vorliegenden Prüfungsberichte erwähnt. (des)