Więcej
livechat

Ładowanie

Mozilla i Apple nie uznają certyfikatów WoSign i StartCom

Mozilla i Apple nie uznają certyfikatów WoSign i StartCom

04-10-2016 13:30:40

WoSign - jeden z największych dostawców certyfikatów cyfrowych w Chinach, właściciel izraelskiego urzędu certyfikacyjnego (certificate authority, CA) StartCom – ma nie lada problemy z przeglądarką Mozilla. Wszystko zaczęło się od serii nieszczęsnych incydentów związanych z bezpieczeństwem, w tym wydania certyfikatów SSL/TLS dla podstawowych domen GitHub właścicielowi subdomeny na tym portalu.

WoSign zwrócił na siebie uwagę po raz pierwszy, gdy Stephen Schrauger, web developer z University of Central Florida, wygenerował certyfikat SSL dla github.io posiadając jedynie powszechnie dostępną subdomeną schrauger.github.com. Schrauger przeszedł walidację dla zabawy nie posiadając uprawnień do domeny, a uzyskanie certyfikatu dla domeny .io komentuje z lekkością: "Nie dodałem (certyfikatu) www.github.com bo mi się zapomniało".

Mozilla oskarża też firmę o zakup StartCom bez informowania o tym kogokolwiek i bez ujawniania zmiany własności tego CA.

Wszystko to sprawiło, że także Apple wyrzucił WoSign CA Free SSL Certificate ze swojego programu zaufania.

Ostatecznie Mozilla zdecydowała, że nowe certyfikaty z WoSign i StartCom nie będą uznawane w przeglądarce. Jednak istniejące certyfikaty będą nadal respektowane. CA może ponownie wystąpić o włączenie swoich certyfikatów w przeglądarce po roku, pod pewnymi warunkami. Teoretycznie pozwala to WoSign tworzyć certyfikaty ze wsteczną datą, jednak Mozilla zastrzegła, że jeśli zauważy cokolwiek, co by na to wskazywało natychmiast przestanie uznawać wszystkie certyfikaty Wosign / StartCom.

Trzeba przyznać, że - jak powiedział sam Schrauger - walidacja domeny nie jest tak prostą rzeczą, jak mogłoby się wydawać, a WoSign nie jest pierwszą firmą, która ma problemy. Miejmy nadzieję, że sytuacje takie jak ta nie będą jednak miały miejsca.

Najnowsze wpisy

Symantec - ostateczny termin ponownego wydania certyfikatów
31-08-2018 11:52:57

We wrześniu nastąpi ostatnia faza wymiany certyfikatów SSL Grupy Symantec. Jest to końcowy etap procesu, który rozpoczął się 1 grudnia 2017 r. i ma na celu dostosowanie certyfikatów Grupy do wymogów przeglądarek internetowych, w tym Google Chrome. Już 13 września...

Symantec - ostateczny termin ponownego wydania certyfikatów
Czym jest Certificate Transparency
24-07-2018 14:16:46

Certyfikat SSL to niekwestionowany standard bezpieczeństwa online. Powinien zadbać o niego każdy właściciel strony internetowej. Zwłaszcza teraz, kiedy jedna z najpopularniejszych przeglądarek, Google Chrome, zaczyna oznaczać strony bez protokołu https:// jako „NIEZABEZPIECZONE”. Google od dawna stawia na bezpieczeństwo w Internecie i sukcesywnie podnosi jego poziom. Przykładem na to jest stworzony już jakiś czas temu Certificate Transparency.

 
Czym jest Certificate Transparency
Google Chrome oznaczy strony bez certyfikatu SSL jako Niezabezpieczone
23-05-2018 10:54:10

Jak w lutym br. Google podał na swoim blogu od lipca 2018, tj. od momentu gdy udostępniona zostanie nowa wersja Chrome 68, wszystkie strony, które nie przeszły jeszcze na HTTPS, czyli nie stosują certyfikatu SSL, zostaną oznaczone jako "Niebezpieczne" (ang. "Not secure").

 

Google Chrome oznaczy strony bez certyfikatu SSL jako Niezabezpieczone
więcej wpisów