Mozilla vertraut kostenlosen StartCom-Zertifikaten

Mozilla will in kommenden Browser-Versionen die Certification Authority StartCom in die mitgelieferte Liste der vorinstallierten Zertifizierungsstellen aufnehmen. Die Mozilla-Browser werden daher zukünftig die kostenlosen Zertifikate des israelischen Unternehmens als vertrauenswürdig akzeptieren.

StartCom-Zertifikate kamen Anfang vergangenen Jahres in die Kritik, da jedermann ohne jedwede Authentifizierung mit gefälschten Angaben für beliebige Adressen ein Zertifikat für etwa die SSL-Verschlüsselung erhalten konnte – heise online gelang es damals im Test, mit falschen Angaben ein Zertifikat für einen fremden Server zu erhalten. Die mit diesem Zertifikat gesicherte Verbindung könnte, sofern der Browser die Zertifizierungsstelle als vertrauenswürdig einstuft, somit übermittelte Daten an irgendwen schicken; es gäbe keine Garantie, dass der Webserver dem angegebenen Zertifikatinhaber gehört.

Um auf dieses Problem aufmerksam zu machen, legte ein aufmerksamer Mozilla-Nutzer einen eher spaßigen Bugzilla-Eintrag an, in dem das Problem fehlender Identifizierung und Authentifizierung diskutiert wurde. StartCom durchlief daraufhin Ende vergangenen Jahres erfolgreich ein so genanntes Third Party Audit, womit den Mozilla-Richtlinien zur Integration von Root-Zertifikaten entsprochen wurde. Inzwischen hat StartCom die Zertifizierungsprozedur angepasst, sodass nur noch Nutzer, die an die administrativen E-Mail-Adressen webmaster, hostmaster, postmaster oder admin einer Domain herankommen, ein Zertifikat für ihre Adresse ausstellen lassen können. (dmk)