Zertifizierungsstellen: WoSign und StartCom verlieren Apples und Mozillas Vertrauen
Worst Case für die chinesische Zertifizierungsstelle WoSign: Apple hat ihr und ihrem israelischen Ableger StartCom das Vertrauen entzogen. Mozilla könnte bald folgen.
(Bild: WoSign / heise Security)
- Fabian A. Scherschel
Die Diskussion um die Fehltritte der Kostenlos-CA WoSign scheint sich gegen die Chinesen zu wenden: Apple hat der Zertifizierungsstelle (Certificate Authority, CA) nun sowohl für macOS als auch iOS das Vertrauen entzogen. Und auch die Stimmung bei den Mozilla-Entwicklern scheint zu Ungusten von WoSign zu kippen. Man will WoSign und dessen israelischem Ableger StartCom das Vertrauen für mindestens ein Jahr entziehen.
WoSign werden eine ganze Reihe von Verfehlungen zu Last gelegt, welche die Mozilla-Entwickler zusammengetragen haben. Unter anderem habe die Firma unsichere SHA-1-Zertifikate erzeugt und diese regelwidrig zurückdatiert, um sie gültig zu machen. Auch die Standards beim Ausstellen von Zertifikaten soll WoSign nicht ernst genommen haben.
Da WoSign außerdem die israelische Kostenlos-CA StartCom übernommen hat, ohne dies zunächst zuzugeben, fällt der Bannstrahl der Entwickler bei Apple und Mozilla jetzt auch auf StartCom. WoSign stellt sich gegenüber Mozilla auf den Standpunkt, dass die Übernahme nichts an den Geschäftspraktiken von StartCom ändere – Mozilla hat allerdings festgestellt, dass nun die technische Infrastruktur von StartCom und Wosign wenigstens zum Teil identisch ist. (fab)
