Zertifizierungsstellen: Bei WoSign und StartCom rollen Köpfe

Nachdem Mozilla angedroht hatte, den Kostenlos-Zertifizierungsstellen WoSign und StartCom das Vertrauen zu entziehen und Apple dieses bereits durchgesetzt hatte, haben die Besitzer der beiden CAs nun drastische Konsequenzen gezogen. Qihoo 360, die Mutterfirma von Wosign (und damit jetzt auch Besitzer von StartCom) hat den WoSign-Chef Richard Wang entlassen und eine neue StartCom-Führung eingesetzt. Außerdem sollen die beiden Zertifizierungsstellen (CAs) strikt voneinander getrennt werden – sowohl im Personal als auch in der Infrastruktur.

Zuvor hatte WoSign bereits hunderttausende Zertifikate über Googles Certificate-Transparency-Server offengelegt. Am Ende sollen alle von WoSign und StartCom jemals ausgestellte Zertifikate dort verzeichnet sein. Auch alle zukünftigen Zertifikate wollen die Firmen loggen. Die Umstellung an der Spitze beider Firmen sei vor allem deswegen erfolgt, weil WoSign Zertifikate mit SHA-1-Signaturen zurückdatiert hatte, um sie entgegen Mozillas Regeln gültig zu machen. Man habe die personellen Änderungen vorgenommen, damit "sowohl WoSign als auch StartCom Führungspersönlichkeiten haben, welche die Standards nach denen eine CA operiert verstehen", so Qihoo 360.

Kunden, die solche SHA-1-Zertifikate bekommen haben, können diese kostenlos gegen SHA-2-Zertifikate umtauschen. Mozilla will nun entscheiden, ob die Maßnahmen ausreichend waren und WoSign und StartCom weiterhin als vertrauenswürdige CAs gelten sollen. Ob Apple seine Entscheidung zurück nimmt, steht auf einem anderen Blatt. (fab)