Microsoft smider omstridte certifikatleverandører på porten

Listen over software, som støtter StartSSL-certifikaterne til StartCom, vil snart blive endnu kortere. Illustration: Screendump
Microsoft gør som andre browserleverandører og slutter samarbejdet med StartCom og WoSign.

Også Microsoft har nu konkluderet, at de kinesiske certifikatudstedere WoSign og StartCom ikke længere er til at stole på. I et blogindlæg skriver selskabet, at de to leverandører har undladt at følge de standarder, som Microsofts Trusted Root Program kræver.

De to certifikatleverandører skal blandt andet have tilbagedateret SHA1-certifikater, fejludstedt certifikater, tilbagetrukket vilkårlige certifikater og anvendt duplikerede certifikatserienumre.

Microsoft har derfor bestemt sig for, at Windows 10 ikke vil acceptere certifikater, som disse leverandører har udstedt efter 26. september i år. Ældre certifikater vil blive accepteret, indtil de udløber på sædvanlig vis.

Sidst i rækken

Microsoft har brugt lang tid på at nå frem til denne konklusion. De tre andre store browserleverandører – Apple, Google og Mozilla – kom med tilsvarende tiltag allerede sidste efterår.

Microsofts beslutning kommer derfor ikke til at få de store konsekvenser, idet de allerede i fjor stoppede med at acceptere certifikater fra de to udstedere, fordi certifikaterne var udstedt efter september eller oktober sidste år.

Google stopper i øvrigt helt med at acceptere certifikater udstedt af WoSign og StartCom med Chrome 61, som efter planen rulles ud den 5. september.

Denne artikel strammer fra norske digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Andersen

StartCom er på vej tilbage igen hos de andre. Deres ansøgning er ved at blive behandlet.

Kan følges på:
https://bugzilla.mozilla.org/show_bug.cgi?id=1311832#c12

Diskussionen på HN kan også have interesse:
https://news.ycombinator.com/item?id=14900272

Tilgengæld undrer det mig hvor lidt omtale Symantec's implosion har fået på v2 (måske jeg har overset det)

For de HN interesserede:
https://news.ycombinator.com/item?id=14914553

  • 2
  • 0
Log ind eller Opret konto for at kommentere