Certifikat-fusk: Kommende Chrome dropper helt tilliden til to CA'ere

Snart vil Chrome ikke længere have tillid til certifikater fra WoSign og StartCom.

Googles browser Chrome vil fra version 61 ikke længere have tillid til TLS/SSL-certifikater fra de to certification authorities (CA'ere) WoSign og StartCom, hvor sidstnævnte er et selskab under WoSign.

Det fremgår af et indlæg på Google Groups fra sikkerhedsudvikler på Chrome Devon O'Brien, som The Register er stødt på.

Certifikaterne bruges til at bekræfte en sikker forbindelse og skal netop sikre, at der er tillid til den kryptering, der er anvendt.

Google har gradvist neddroslet tilliden til certifikater udstedt via WoSign og StartCom over en periode. Sidste år, med Chrome 56, begyndte Google-browseren kun at have tillid til certifikater fra før 21. oktober 2016. Og dernæst blev tilliden yderligere begrænset i form af en stadig kortere whiteliste over godkendte hostnavne med certifikater fra de pågældende CA'ere.

Og fra Chrome version 61, der forventes at udkomme i midten af september 2017, er det slut med whitelisten også. Det vil sige, at Chrome-brugere i alle tilfælde vil blive mødt af en advarsel, når de forsøger at tilgå et domæne med et certifikat, som er udstedt via WoSign eller StartCom.

Flere problemer

The Register kan fortælle, at der ifølge Google har været flere problemer forbundet med WoSign og StartCom. GitHub kunne sidste august fortælle, at WoSign udstedte et certifikat til et GitHub-domæne uden der havde fundet den rette godkendelse sted. En efterfølgende efterforskning viste, at WoSign havde tilbagedateret SHA-1-baserede certifikater, som i dag anses for usikre. Chrome har advaret brugere, når hjemmesider har anvendt et SHA-1-baseret certifikat, der udløber efter 1. januar 2017.

Det kom desuden frem i forbindelse med undersøgelsen, at WoSign havde forsøgt at skjule sin overtagelse af StartCom.

Efterfølgende meddelte Mozilla, Apple og Google, at virksomhederne gradvist ville udfase tilliden til certifikater fra WoSign og StartCom.

O'Brien opfordrer sites, der stadig anvender certifikater fra de to CA'ere, til at overveje at udskifte certifikaterne.

The Register har ikke umiddelbart kunne få en kommentar fra WoSign. En kundesupport-medarbejder hos StartCom har fortalt mediet, at der arbejdes på at kunne bestå en audit.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Joe Sørensen

Mozilla har også haft problemer med WoSign. Mozilla har hele deres kommunikation med WoSign online. Der er en executive summery her: https://wiki.mozilla.org/CA:WoSign_Issues Det har været et langt forløb.

En interessant ting er at Mozilla har skrevet er: "Specifically, Mozilla is taking the following actions: [...] 3 - No longer accept audits carried out by Ernst & Young Hong Kong." https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-...

Det er i øvrigt Mozilla der leverer Certificate Authority lister til mange andre open source programmer, så når Mozilla afvikler et certifikat så følger ændringen med i disse systemer. Så der varer ikke længen inden at det kun er Internet Explorer der accepterer StartCom/WoSign certifikater, hvis de altså ikke går samme vej som Google og Mozilla

  • 3
  • 0
Log ind eller Opret konto for at kommentere