Kostenlos-CA WoSign in der Kritik, Mozilla erwägt Schritte

Die chinesische Zertifizierungsstelle WoSign ist durch eine Reihe von Unregelmäßigkeiten beim Ausstellen von SSL-Zertifikaten aufgefallen. Firefox-Hersteller Mozilla erwägt nun, welche Konsequenzen die Fehltritte für die CA haben sollen. Genau wie die direkten Konkurrenten StartSSL und LetsEncrypt stellt WoSign momentan kostenlose Zertifikate zur Verfügung, die von allen großen Browsern ohne Zertifikatswarnungen akzeptiert werden.

Regelwidriges Verhalten

Mozilla hat von zwei gesonderten Fehltritten der CA erfahren. Zum einen hatte es ein Admin vor knapp einem Jahr geschafft, sich ein Zertifikat für die Domain github.io ausstellen zu lassen – github.com wäre ebenso möglich gewesen. Das hatte geklappt, weil GitHub seinen Nutzern Subdomains überlässt, über die diese dann die Kontrolle haben. Da WoSign beim Erzeugen von Zertifikaten die Subdomains nicht richtig geprüft hatte, konnte der Forscher ein Zertifikat für die komplette GitHub-Domain beantragen. Zwar hatte er die Sicherheitslücke an die CA gemeldet, diese hatte aber nicht – wie sonst eigentlich üblich – den Gang nach Canossa angetreten und die Browser-Hersteller informiert, was Mozilla kritisiert. Außerdem weigerte sich WoSign erst einmal, alle 33 auf diese Weise bösartig ausgestellten Zertifikate ungültig zu machen.

In einem anderen Fall gelang es einem Forscher, WoSign-Zertifikate zu beantragen, in dem er seine Kontrolle über die entsprechenden Webseiten über sehr hoch gelegenen Ports (über Port 50000) im Netz der dazugehörigen Organisation demonstrierte. Da es sich dabei um unprivilegierte Ports handelt, konnten Nutzer ohne Admin-Rechte auf einem entsprechenden System sich diese Zertifikate ausstellen lassen. Das soll insgesamt 72 Mal passiert sein. Auch diese unsichere Vorgehensweise war den Browserherstellern nicht gemeldet worden.

WoSign scheint mit StartCom anzubändeln

Mozilla zeigt sich außerdem besorgt darüber, dass es anscheinend möglich ist, über die Zertifikatsinfrastruktur von StartCom Zertifikate von WoSign zu beantragen. StartCom war erst vor kurzem durch Sicherheitslücken bei seinem kostenlosen Zertifikatsdienst StartEncrypt in die Kritik geraten. Die Entdeckung sorgte für Spekulationen darüber, StartCom könnte von WoSign übernommen worden sein.

Seit Juli meldet WoSign alle ausgestellten Zertifikate im Rahmen des Certificate-Transparency-Programms an Google. In der Diskussion, die nach Mozillas Aufruf zu Kommentaren zum Verhalten von WoSign entbrannt ist, hagelt es viel Kritik, es gibt aber auch Stimmen von Sicherheitsforschern die zu Bedenken geben, dass WoSign offensichtlich bemüht sei, sich zu bessern. Noch zeichnet sich keine klare Linie bei den Mozilla-Vertretern ab, welche Konsequenzen die Vorfälle für WoSign haben werden lässt sich dementsprechend noch nicht absehen. (fab)