Więcej
Mozilla i Apple nie uznają certyfikatów WoSign i StartCom

Mozilla i Apple nie uznają certyfikatów WoSign i StartCom

04-10-2016 13:30:40

WoSign - jeden z największych dostawców certyfikatów cyfrowych w Chinach, właściciel izraelskiego urzędu certyfikacyjnego (certificate authority, CA) StartCom – ma nie lada problemy z przeglądarką Mozilla. Wszystko zaczęło się od serii nieszczęsnych incydentów związanych z bezpieczeństwem, w tym wydania certyfikatów SSL/TLS dla podstawowych domen GitHub właścicielowi subdomeny na tym portalu.

WoSign zwrócił na siebie uwagę po raz pierwszy, gdy Stephen Schrauger, web developer z University of Central Florida, wygenerował certyfikat SSL dla github.io posiadając jedynie powszechnie dostępną subdomeną schrauger.github.com. Schrauger przeszedł walidację dla zabawy nie posiadając uprawnień do domeny, a uzyskanie certyfikatu dla domeny .io komentuje z lekkością: "Nie dodałem (certyfikatu) www.github.com bo mi się zapomniało".

Mozilla oskarża też firmę o zakup StartCom bez informowania o tym kogokolwiek i bez ujawniania zmiany własności tego CA.

Wszystko to sprawiło, że także Apple wyrzucił WoSign CA Free SSL Certificate ze swojego programu zaufania.

Ostatecznie Mozilla zdecydowała, że nowe certyfikaty z WoSign i StartCom nie będą uznawane w przeglądarce. Jednak istniejące certyfikaty będą nadal respektowane. CA może ponownie wystąpić o włączenie swoich certyfikatów w przeglądarce po roku, pod pewnymi warunkami. Teoretycznie pozwala to WoSign tworzyć certyfikaty ze wsteczną datą, jednak Mozilla zastrzegła, że jeśli zauważy cokolwiek, co by na to wskazywało natychmiast przestanie uznawać wszystkie certyfikaty Wosign / StartCom.

Trzeba przyznać, że - jak powiedział sam Schrauger - walidacja domeny nie jest tak prostą rzeczą, jak mogłoby się wydawać, a WoSign nie jest pierwszą firmą, która ma problemy. Miejmy nadzieję, że sytuacje takie jak ta nie będą jednak miały miejsca.

Najnowsze wpisy

Tak ludzie reagują na "Niezabezpieczone" strony
05-03-2019 14:26:29

Przyjmujemy, że ostrzeżenie “Niezabezpieczona” jakie Google wyświetla w przeglądarce Chrome przy adresach stron odstrasza. Ale czy faktycznie tak jest? Być może ludzie nie zwracają uwagi na komunikaty w pasku przeglądarki lub ich nie rozumieją? Z pomocą przychodzą badania, które w lutym 2019 r. opublikował realbusiness.co.uk

Tak ludzie reagują na
Jak certyfikat EV chroni przed phishingiem Ciebie i Twoich klientów?
06-02-2019 11:09:13

Phishing to jedno z najpopularniejszych cyber-przestępstw, które mają wpływ zarówno na konsumentów, jak i firmy. W ciągu ostatnich kilku lat wyłudzanie informacji stało się coraz głośniejsze i bardziej wyrafinowane.

Jak certyfikat EV chroni przed phishingiem Ciebie i Twoich klientów?
Jak włączyć szyfrowanie SSL i czym ono jest?
04-01-2019 15:05:41

25 stycznia obchodzimy Dzień Kryptologii. Z tej okazji chcemy przybliżyć Wam czym jest szyfrowanie SSL i jak je włączyć.

Jak włączyć szyfrowanie SSL i czym ono jest?
więcej wpisów