Thought Leadership
Apple greift durch: Die Zertifizierungsstellen (CA) WoSign und StartCom verschwinden aus dem Truststore von MacOS und iOS. Das Unternehmen wird mit dem kommenden Release dem „CA Free SSL Certificate G2 intermediate CA“-Zertifikat das Vertrauen entziehen.
Bislang ist noch unklar, ob dies ausschließlich für die kostenfreien Zertifikate beider Zertifizierer gilt und Extended-Validation-Zertifikate gültig bleiben.
„Apple vertraut beiden Zertifizierungsstellen aufgrund ihrer Vergabepraxis nicht mehr. WoSign datierte unter anderem unsichere SHA-1-Zertifikate regelwidrig zurück, um sie so gültig zu machen. Auch Standards, die zur Zertifikatsausstellung einfach dazu gehören, wurden von der CA gekonnt ignoriert“, erklärt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP (www.psw-group.de). Sein Unternehmen vermittelt SSL-Zertifikate von Zertifizierungsstellen, die Wert auf sichere sowie zukunftsträchtige Algorithmen und Hash-Funktionen legen. „Man muss davon ausgehen, dass wahrscheinlich auch Mozilla WoSign und StartCom das Vertrauen entziehen wird. Dann ist es nur eine Frage der Zeit, bis auch Google mit Chrome folgen wird“, so Heutger weiter.
WoSign und StartCom sind allerdings nicht die ersten Zertifizierungsstellen, die nachlässig arbeiten. In jüngster Vergangenheit signierte beispielsweise CNNIC falsche Google-Zertifikate und SSL-Zertifikate von CloudFlare wurden für Phishing missbraucht. „Es ist auffällig, dass sich seit geraumer Zeit die Meldungen über Zertifizierer, die nicht mehr vertrauenswürdig sind, häufen. Website-Betreiber müssen sich aber darauf verlassen können, dass die von ihnen ausgewählte Zertifizierungsstelle auch morgen noch als vertrauenswürdig gilt, das heißt, sie müssen ihnen voll vertrauen. Dies gilt insbesondere bei der Frage, welche Verschlüsselungsalgorithmen, Hashfunktionen und Schlüssellängen in einer sich ständig ändernden Branche als sicher eingestuft werden“, sagt Heutger.
Für eine vertrauliche Kommunikation per E-Mail rät der Experte deshalb ausschließlich zu S/MIME Zertifikaten. S/MIME sorgt dafür, dass E-Mail-Inhalte nicht manipuliert werden können, der Ursprung der Nachricht nachgewiesen werden kann und der E-Mail-Inhalt nicht bloßgelegt werden kann. Weiter ist S/MIME Wegweiser für flexible, sichere Kommunikation und lässt sich einfach implementieren. „Mein wichtigster Rat jedoch ist, dass jeder Website-Betreiber sich unbedingt beraten lassen sollte, welches das richtige Zertifikat für seinen Zweck ist, bevor er sich für eines entscheidet”, ergänzt Heutger.
Weitere Informationen finden Sie hier.
