Nach der Mozilla-Anfrage traut sich Apple der chinesischen Zertifizierungsstelle

Nach einer von Mozilla geführten Untersuchung, die mehrere Probleme im SSL-Zertifikatsausgabeprozess von WoSign, einem basierend auf der Zertifizierungsstelle, wird Apple Änderungen an iOS und macOS vornehmen, um zukünftige vom Unternehmen ausgestellte Zertifikate zu blockieren.

Obwohl kein WoSign-Stammzertifikat in Apples vertrauenswürdigem Zertifikatspeicher vorhanden ist, wird ein WoSign-CA-Zwischenzertifikat von zwei anderen signiert CAs, denen Apple vertraut: StartCom und Comodo. Dies bedeutet, dass Apple-Produkte bisher Zertifikate, die über die WoSign-Zwischenzertifizierungsstelle ausgestellt wurden, automatisch als vertrauenswürdig einstuften.

Da WoSign in den Zertifikatsausgabeprozessen der WoSign CA Free SSL Certificate G2-Zwischenzertifizierungsstelle mehrere Kontrollfehler aufwies, "ergreifen wir Maßnahmen zum Schutz Benutzer in einem bevorstehenden Sicherheitsupdate ", sagte Apple in den Support Notes für iOS und MacOS. "Apple Produkte werden der WoSign CA Free SSL Zertifikat G2 Zwischenzertifizierungsstelle nicht mehr vertrauen."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Das Verbot gilt nur für zukünftige Zertifikate, die von WoSign ausgestellt wurden die bereits ausgestellt und auf öffentlichen Certificate Transparency (CT) -Protokollservern bis zum 19. September veröffentlicht wurden. Diese vorhandenen Zertifikate werden weiterhin vertrauenswürdig sein, bis sie ablaufen, widerrufen werden oder Apple entscheidet, sie zu einem späteren Zeitpunkt zu verbieten.

Dies ist ähnlich der Entscheidung, die das CA-Team von Mozilla erwägt, nachdem es mehrere Probleme bei WoSign entdeckt hat, darunter falsche Ausgabe von Zertifikaten und ein starker Verdacht, der darauf hinweist, dass die CA SHA-1-signierte Zertifikate nach dem 1. Januar ausgestellt hat "

" Mozillas CA-Team hat das Vertrauen in die Fähigkeit von WoSign / StartCom verloren, die Funktionen einer CA treu und kompetent zu erledigen ", sagte das Mozilla-Team in einer detaillierten Analyse der einfallen nts. "Daher schlagen wir vor, dass Mozilla-Produkte ab einem in naher Zukunft zu bestimmenden Datum nicht mehr den neu ausgegebenen Zertifikaten vertrauen, die von einer dieser beiden CA-Marken herausgegeben werden."

Die Aufnahme von StartCom, einem in Israel ansässigen Unternehmen CA ist in dieser Entscheidung darauf zurückzuführen, dass WoSign stillschweigend StartCom im November 2015 erworben hat. Obwohl WoSign im September sagte, dass die beiden Unternehmen unabhängig betrieben und verwaltet werden, gibt es Anzeichen dafür, dass StartCom WoSigns zertifikatgebende Infrastruktur und Prozesse verwendet.

In seiner eigenen Analyse und Antwort behauptet WoSign, dass nur 8 SHA-1-Zertifikate nach dem SHA-1-Stichtag vom 1. Januar 2016 falsch ausgestellt wurden und dass diese Vorfälle das Ergebnis eines Fehlers in seinem System waren und API.

"WoSign bleibt bestrebt, unsere Technologie, Prozesse und Angebote ständig weiterzuentwickeln, um unsere Kunden und das Internet sicher zu halten", heißt es in seinem Abschlussbericht nach der Untersuchung. "Wir glauben, dass die von uns unternommenen Schritte sicherstellen werden, dass diese Art von Vorfällen nie wieder passiert, und wir glauben, dass die volle Unterstützung von CT unsere Verpflichtung der Aufsicht ist."