James Steidl - Fotolia

F

Was bedeutet das entzogene Vertrauen für WoSign-Zertifikate?

Google hat bei Chrome hat damit begonnen, das Vertrauen in die von WoSign ausgegebenen Zertifikate zurückzuziehen. Was bedeutet dies für betroffene Unternehmen?

Seit September hat 2017 Google das Vertrauen in die Zertifikats-Authority WoSign zurückgezogen. Zertifikate dieses Ausgebers und seine Tochterfirma StartCom wird seit Chrome 61 nicht mehr vertraut. Google hat das Vertrauen für die Zertifikate Stück für Stück zurückgezogen, seit September 2017 ist nun komplett Schluss.

Für eine CA (Certificate Authority) ist das Vertrauen der Browser-Hersteller essentiell. Ohne die Unterstützung von Chrome ist der Anbieter in Gefahr. Dazu kommt, dass sich weitere Anbieter gegen WoSign aussprechen. Einige sind dabei, ebenfalls das Vertrauen zu entziehen. Microsoft, Mozilla und Apple sind dabei, gegen WoSign vorzugehen. Einer der Gründe dafür ist, dass der Anbieter laut den Herstellern die Sicherheit zu lax nimmt. Lediglich die Macher des Browsers Opera haben bislang noch keine Maßnahmen getroffen. Opera wurde im letzten Jahr vom chinesischen Investment-Konsortium Golden Brick Silk Road übernommen.

Es gibt eine Reihe von Gründen, warum die Zertifikate von WoSign von Herstellern als nicht vertrauenswürdig gelten. Unter anderem wurde der Hersteller erwischt, wie er Zertifikate zurückdatiert hat und SHA-1 Zertifikate länger als geplant ausgegeben hat.

Google und WoSign haben sich länger über diese Probleme ausgetauscht. Die CA hat ein Statement ausgegeben, in dem das Unternehmen erklärt, wie es vorgehen möchte. Als Teil dieses Prozesses hat sich Qihoo 360, der Eigentümer von WoSign, bereit erklärt, den WoSign CEO Richard Wang auszutauschen. Allerdings blieb es hier bei Lippenbekenntnissen: Bislang gibt es keinen neuen Geschäftsführer und Wang arbeitet noch immer im Unternehmen.

WoSign gibt zudem an, dass kürzlich eine Sicherheitsüberprüfung erfolgreich abgeschlossen wurde. Dementsprechend sollte es weiter als zuverlässige CA gelistet sein. Allerdings könnte es für den chinesischen Anbieter schon zu spät sein. WoSign erfreut sich vor allem in China großer Beliebtheit, auch weil der Anbieter bereits länger kostenlos Zertifikate verteilt. Mit LetsEncrypt gibt es inzwischen eine Alternative, der von allen Anbietern vertraut wird. Wer bislang ein Zertifikat von StartCom oder WoSign nutzt, sollte entsprechend auf so einen Anbieter umstellen.

Das fehlende Vertrauen in WoSign ist nicht neu. Große Anbieter haben sich seit mehreren Jahren vom Anbieter distanziert, immer mehr Seiten spüren diese Auswirkungen. Wer bislang noch nicht zu einem neuen Anbieter gewechselt hat, sollte dies in Bälde tun.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Das bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche

Verhindert Googles Certificate Transparency den Zertifikatsmissbrauch?

Abgelaufene Zertifikate als Ausfallursache für Webserver

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close