GoogleWatchBlog

Google entzieht WoSign und StartCom das Vertrauen

» Web-Version «

Nach Mozilla hat nun auch Google angekündigt, dass man den beiden Certificate Authorities (CAs) WoSign und StartCom das Vertrauen entziehen wird. WoSign und StartCom haben Zertifikate für Domains ausgestellt, für die sie nicht berechtigt waren.

Google hat festgestellt, dass beide CAs sich nicht an die hohen Standards, die von einer CA erwartet werden, halten und daher von Google Chrome entsprechend der Root Certificate Policy nicht mehr als vertrauenswürdig angesehen werden. Auch Apple und Mozilla haben den CAs das Vertrauen entzogen.

Mitte August wurde Google von GitHub darüber informiert, dass WoSign ein Zertifikat für eine GitHub-Domain ausgestellt hat, obwohl es dafür keine Erlaubnis gab. Das führte zu einer Untersuchung, die von Mozilla vorangetrieben wurde. Dabei wurden weitere Fehlverhalten bekannt.

So hat WoSign Zertifikate erstellt, die nicht den Regeln entsprechen. So wurden Zertifikate zurückdatiert. Weiterhin hat WoSign StartCom übernommen, was beide zunächst abgestritten hatten.

Ab Chrome 56 werden Zertifikate von WoSign und StartCom nicht mehr als vertrauenswürdig angesehen, wenn diese nach dem 21. Oktober 2016 erstellt wurden. Google wie auch Mozilla behält sich vor, weitere Schritte zu unternehmen und auch älteren Zertifikaten das Vertrauen zu entziehen. Nutzer bekommen entsprechend eine Warnung angezeigt. Diese ist der oben eingebundenen recht ähnlich.

Google schreibt auch, dass es möglich ist, das auch ältere Zertifikate mit Chrome 56 nicht mehr als vertrauenswürdig angesehen werden. In weitere Chrome Releases wird Google weitere Schritte unternehmen und den beiden CAs das Vertrauen komplett entziehen.

[via]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren