Quo vadis Startssl.com?

  • 06. Juli 2017
  • mstenzel

Die abgestürzte, israelische Zertifizierungsstelle StartSSL setzt dem Hundehaufen das Sahnehäubchen auf. Obwohl sie wissen, daß ihre SSL-Zertifikate weder im Google Chrome, noch im Mozilla Firefox-Browser gültig sind, verkaufen sie ungeniert weiter nutzlose Zertifikate. Dummerweise sind sie dennoch im Rahmen des Rechts.

Aber langsam zum mitschreiben:

Die Zertifizierungsstelle StartSSL, beziehungsweise deren Muttergesellschaft WoSign, haben im Jahre 2016 fehlerhafte Zertifikate ausgestellt, um internationale Vereinbarungen zu umgehen.

Zertifikate funktionieren aber grundsätzlich über Vertrauen. Die Browserhersteller vertrauen den Zertifizierungsstellen, welche sich im Gegenzug zur Einhaltung von Regeln bereit erklären. Dadurch vertrauen auch die Webbrowser im Auslieferungszustand bereits den Zertifikaten, die von den Zertifizierungsstellen signiert wurden. Missbraucht nun eine Zertifizierungsstelle dieses Vertrauen, müssen die Hersteller von Sicherheitssoftware, allen voran die Browserhersteller, dieses Vertrauen im Interesse ihrer Kunden und Benutzer entziehen.

Genau dieses ist geschehen, was ein Zeichen für eine funktionierende Kontrolle zum Schutze des Anwenders ist.

Im Oktober 2016 kündigte Google folgerichtig an, daß Google Chrome ab Version 56 neu ausgestellten Zertifikaten von StartSSL das Vertrauen entziehen wird. Ungefähr zeitgleich zogen die Hersteller, bzw. Programmierer von Mozilla Firefox und Apple Safari nach. Diese drei Browser akzeptieren folglich keine Zertifikate von StartSSL, bzw. StartComCA.com mehr.

StartSSL ist dieses bekannt. Als Beweis genügt die Tatsache, daß auf StartComCA.com nicht etwa ein Zertifikat von StartSSL, WoSign oder StartComCA zur Anwendung kommt, sondern ein Fremdzertifikat einer weniger bekannten Zertifizierungsstelle namens "AC Camerfirma S.A.". (Siehe Bild)

Das hindert StartSSL aber nicht daran, weiterhin Zertifikate zu verkaufen, welche für die praktische Anwendung relativ nutzlos sein sollten. (Siehe zweites Bild)

Im Teaser betonte ich, daß StartSSL damit vermutlich juristisch auf der sicheren Seite ist: Denn StartSSL kassiert nicht für die Zertifikate, sondern für den Prozess der Accountregistrierung bei StartComCA.com, eine Leistung, die in der überwiegenden Zahl der Fälle wohl einwandfrei erbracht wurde.

Diese Dreistigkeit kommt für mich sehr überraschend, weil ich auf solch eine Idee niemals gekommen wäre. Dennoch hat Mattias Geniar in seinem Blog bereits im Februar darüber berichtet.

Ich folgere aus dieser Handlung, daß der Vertrauensentzug zurecht erfolgt ist und schließe das Thema StartSSL hiermit endgültig ab.

Verwandte Links

⇐ Zurück zur Übersicht