Tschüss WoSign und StartSSL

  • 11. August 2017
  • mstenzel

Es ist soweit: Nach den Browserherstellern Mozilla, Apple und Google entzieht nun auch Microsoft den fehlgeleiteten Zertifizierungsstellen WoSign und StartSSL das Vertrauen. Damit erlischt ab September 2017 endgültig der letzte Nutzen der Zertifikate von WoSign und StartSSL.

Unter anderem gelang es einem Sicherheitsforscher, ein gültiges Zertifikat für die Webseite von GitHub ausstellen zu lassen.

Aber bereits vorher verstieß StartSSL gegen internationale Vereinbarungen, indem sie den unsicheren Algorithmus SHA1 verwendeten (siehe auch auf Heise.de: SHAttered).

StartSSL war vor einigen Jahren wegen ihrer einzigartigen Preispolitik eine der beliebtesten Zertifizierungsstellen. Zertifizierungsstellen gelten zu Recht als "Gelddruckmaschinen". Sie verlangen für eine "einfache" Rechenoperation von wenigen Zehntelsekunden Beträge von $349 bis $1299 Dollar (am Beispiel Symantec). Dabei können Sie ihre Leistungen auch noch mit einem Ablaufdatum versehen und somit dieselbe Leistung immer wieder verkaufen.

Glücklicherweise rief die Mozilla Foundation zwischenzeitlich die "Let's Encrypt"-Initiative ins Leben, die kostenlose Zertifikate verteilt, die allerdings nur maximal drei Monate Gültigkeit haben. Mit diesen lässt sich die maximale Sicherheit nicht erreichen, da z.B. kein Certificate Pinning möglich ist.

⇐ Zurück zur Übersicht