heise Security

Microsoft verbannt Zertifikate von StartCom und WoSign aus Windows 10

Dennis Schirrmacher

Nach Apple, Google und Mozilla vertraut auch Microsoft den chinesischen Zertifizierungsstellen nicht mehr.

Ab Ende September stuft Windows 10 neu ausgestellte Zertifikate der chinesischen Zertifizierungsstellen (CA) StartCom und WoSign als nicht mehr vertrauenswürdig ein. Alle davor ausgestellten Zertifikate funktionieren noch so lange, bis sie abgelaufen sind, erläutert Microsoft in einem Blog-Eintrag [1].

Damit folgen sie Apple [2], Google [3] und Mozilla [4], die den CAs schon Ende 2016 das Vertrauen entzogen haben. Der Grund dafür sind unter anderem diverse Verstöße gegen Zertifikatsrichtlinien: Zum Beispiel gelang es einem Sicherheitsforscher, ein gültiges Zertifikat für die GitHub-Domain zu erhalten. Zudem setzen die CAs noch auf das kaputte SHA-1 [5].

Die Schritte von Microsoft & Co. muten drastisch an, doch wer sich im Geschäft mit Zertifikaten nicht an die Spielregeln hält, hat kein Vertrauen verdient. Schließlich fußt die Wahrung von Authentizität und Integrität im Internet durch Zertifikate auf Vertrauen. (des [6])


URL dieses Artikels:
https://www.heise.de/security/meldung/Microsoft-verbannt-Zertifikate-von-StartCom-und-WoSign-aus-Windows-10-3797720.html

Links in diesem Artikel:
  [1] https://blogs.technet.microsoft.com/mmpc/2017/08/08/microsoft-to-remove-wosign-and-startcom-certificates-in-windows-10/
  [2] https://www.heise.de/security/meldung/Zertifizierungsstellen-WoSign-und-StartCom-verlieren-Apples-und-Mozillas-Vertrauen-3341294.html
  [3] https://www.heise.de/security/meldung/Google-Chrome-vertraut-StartCom-und-WoSign-Zertifikaten-nicht-mehr-3767621.html
  [4] https://www.heise.de/security/meldung/Zertifikats-Schmu-bei-WoSign-und-StartCom-Mozilla-macht-Ernst-3361574.html
  [5] https://www.heise.de/security/meldung/Todesstoss-Forscher-zerschmettern-SHA-1-3633589.html
  [6] mailto:des@heise.de