Masz certyfikat StartCom lub WoSign? Zmień go natychmiast…

…zwłaszcza jeżeli wydany był po 21 października 2016 roku!

Wymienione certyfikaty będą uznawane za niezaufane przez przeglądarkę Firefox począwszy od wersji 51, której udostępnienie zaplanowano na 24 stycznia br. Sytuacja będzie trwać do czasu, kiedy wystawcy nie dostarczą nowego certyfikatu root, który będzie mógł być dodany do magazynu certyfikatów przeglądarki. Nawet jeżeli to nastąpi, właściciele certyfikatów StartCom i WoSign dotkniętych sankcjami, będą musieli zaktualizować łańcuch certyfikacji na swoim serwerze, przez podmianą certyfikatów root.

Działania te są następstwem licznych nieprawidłowości wykrytych w WoSign – chińskim urzędzie certyfikującym (CA). Największe zastrzeżenia budził fakt cofania dat ważności certyfikatów wydanych po 1 stycznia 2016 roku do daty przed 31 grudnia 2015 roku. Celem było unikniecie restrykcji związanych z wycofaniem wsparcia dla algorytmu szyfrowania SHA-1 przez developerów przeglądarek.

Domena Nieważny przed Nieważny po SCT Timestamp
yffsc.com Dec 19 20:37:06 2015 GMT Dec 29 16:00:00 2016 GMT Jan 4 10:11:27 2016 GMT
congfubao.com Dec 20 08:29:51 2015 GMT Dec 29 16:00:00 2016 GMT Jan 5 05:52:47 2016 GMT
my.xbniao.com Dec 20 07:48:31 2015 GMT Dec 29 16:00:00 2016 GMT Jan 18 05:33:21 2016 GMT

Co do tego wszystkiego ma StartCom? To kolejny grzech WoSign. Ten 6. pod względem liczby wystawionych certyfikatów izraelski urząd certyfikujący został potajemnie przejęty przez WoSign. Brak transparentności fuzji i zaprzeczanie jej wystąpieniu trwały aż do przedstawienia przez Mozillę niezbitych dowodów na powyższe nieprawidłowości.

W konsekwencji Mozilla podjęła decyzje o:

– Nieuznawaniu certyfikatów wydanych po 21 stycznia 2016 roku, które w łańcuchu zaufania uwzględniały certyfikaty (w tym cross-certyfikaty):

  • CN=CA 沃通根证书, OU=null, O=WoSign CA Limited, C=CN
  • CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN
  • CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
  • CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN
  • CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL
  • CN=StartCom Certification Authority G2, OU=null, O=StartCom Ltd., C=IL

– Dodawaniu certyfikatów, w przypadku których stwierdzono cofniecie czasu, do listy certyfikatów unieważnionych (CRL);

– Braku akceptacji audytów wykonanych przez Ernst & Young Hong Kong;

– Usunięciu skompromitowanych certyfikatów root z magazynu certyfikatów Mozilli. Jeżeli nowe certyfikaty są przyjęte do włączenia w magazynie, Mozilla może skoordynować migrację użytkowników z CA na nowe rooty. W innym przypadku certyfikaty będą usuwane od początku marca br.

Źródło: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/ 

Autor: Jarosław Dolega, produkt manager w nazwa.pl