Auch Google vertraut StartCom- und WoSign-Zertifikaten nicht mehr

Das Misstrauen gegenüber den Zertifizierungsstellen (CA) StartCom und WoSign wächst: Ab Januar 2017 soll Chrome (Version 56) nach dem 21. Oktober 2016 ausgestellten Zertifikaten nicht mehr vertrauen, teilt Google in seinem Security-Blog mit.

Auch Apple und Mozilla wollen den CAs das Vertrauen entziehen. Bei Mozilla soll das ab Firefox 51 der Fall sein. Die Version soll ebenfalls im Januar 2017 erscheinen. Der Grund für das Misstrauen sind einige Vorfälle aus der Vergangenheit, die gegen diverse Zertifikats-Richtlinien verstoßen und somit das Vertrauen in die CAs erschüttert haben.

WoSign hat etwa bei einer Domain-Überpüfung gepatzt und ein Admin konnte sich ein gültiges Zertifikat für eine GitHub-Domain ausstellen. Zudem soll sich die CA geweigert haben, dieses und 32 weitere falsche Zertifikate für ungültig zu erklären. Außerdem erfolgte Mozilla zufolge die Übernahme des Mitbewerbers StartCom durch WoSign ohne Bekanntgabe – ein weiterer Verstoß gegen Zertifikats-Richtlinien.

Letztes Vertrauen auf Zeit

Zertifikate, die vor dem 21. Oktober 2016 ausgestellt wurden, kann Chrome noch für eine gewisse Zeit vertrauen, solange diese Googles Certificate-Transparency-Richtlinie erfüllen. Mit den Versionen die nach Chrome 56 erscheinen, will Google StartCom und WoSign dann das Vertrauen nach und nach komplett entziehen. In der Zwischenzeit haben betroffene Webseiten-Betreiber die Chance, auf ein vertrauenswürdiges Zertifikat zu wechseln. Sollte sich eine der CAs gegen diese Vorgehensweise stellen, will Google das Vertrauen umgehend entziehen.

Damit die Arbeitsweise von CAs transparenter wird und regelwidrig ausgestellte Zertifikate schneller entdeckt werden, will Google die Certificate-Transparency-Richtlinie ab Oktober 2017 verpflichtend einführen. (des)