Więcej
Mozilla i Apple nie uznają certyfikatów WoSign i StartCom

Mozilla i Apple nie uznają certyfikatów WoSign i StartCom

04-10-2016 13:30:40

WoSign - jeden z największych dostawców certyfikatów cyfrowych w Chinach, właściciel izraelskiego urzędu certyfikacyjnego (certificate authority, CA) StartCom – ma nie lada problemy z przeglądarką Mozilla. Wszystko zaczęło się od serii nieszczęsnych incydentów związanych z bezpieczeństwem, w tym wydania certyfikatów SSL/TLS dla podstawowych domen GitHub właścicielowi subdomeny na tym portalu.

WoSign zwrócił na siebie uwagę po raz pierwszy, gdy Stephen Schrauger, web developer z University of Central Florida, wygenerował certyfikat SSL dla github.io posiadając jedynie powszechnie dostępną subdomeną schrauger.github.com. Schrauger przeszedł walidację dla zabawy nie posiadając uprawnień do domeny, a uzyskanie certyfikatu dla domeny .io komentuje z lekkością: "Nie dodałem (certyfikatu) www.github.com bo mi się zapomniało".

Mozilla oskarża też firmę o zakup StartCom bez informowania o tym kogokolwiek i bez ujawniania zmiany własności tego CA.

Wszystko to sprawiło, że także Apple wyrzucił WoSign CA Free SSL Certificate ze swojego programu zaufania.

Ostatecznie Mozilla zdecydowała, że nowe certyfikaty z WoSign i StartCom nie będą uznawane w przeglądarce. Jednak istniejące certyfikaty będą nadal respektowane. CA może ponownie wystąpić o włączenie swoich certyfikatów w przeglądarce po roku, pod pewnymi warunkami. Teoretycznie pozwala to WoSign tworzyć certyfikaty ze wsteczną datą, jednak Mozilla zastrzegła, że jeśli zauważy cokolwiek, co by na to wskazywało natychmiast przestanie uznawać wszystkie certyfikaty Wosign / StartCom.

Trzeba przyznać, że - jak powiedział sam Schrauger - walidacja domeny nie jest tak prostą rzeczą, jak mogłoby się wydawać, a WoSign nie jest pierwszą firmą, która ma problemy. Miejmy nadzieję, że sytuacje takie jak ta nie będą jednak miały miejsca.

Najnowsze wpisy

Firefox wprowadził tryb HTTPS-only
21-01-2021 14:17:11

Pod koniec zeszłego roku na rynku zadebiutowała nowa wersja przeglądarki – Firefox ’83. Użytkownicy znajdą w niej sporo aktualizacji i nowości. Jedną z wprowadzonych zmian, ku większemu bezpieczeństwu i zaufaniu użytkowników, jest tryb HTTPS-Only.

Firefox wprowadził tryb HTTPS-only
Masz androida? Twój Let's Encrypt może nie zadziałać
09-12-2020 14:15:37

Certyfikat Let’s Encrypt może nie zadziałać nawet na co trzecim urządzeniu z systemem operacyjnym Android. W związku z zapowiedzią, w 2021 roku Let’s Encrypt zaprzestanie używać DST Root X3 na rzecz własnego certyfikatu głównego – ISRG Root X1.

Masz androida? Twój Let's Encrypt może nie zadziałać
ECC w szyfrowaniu SSL
07-10-2020 11:28:10

Internet stał się nieodłączną częścią naszego życia. Pracujemy, używając sieci. Robimy zakupy, płacimy rachunki, dokonujemy różnego typu transakcji. Nasze dane wrażliwe, podlegają ciągłej dystrybucji. Jak chronić ich bezpieczeństwo? Odpowiedzią na to są certyfikaty SSL. Śmiało możemy powiedzieć, że są polisą ubezpieczeniową naszych danych.

 

ECC w szyfrowaniu SSL
więcej wpisów