Google verklaart StartSSL en StartCom certificaten “ongeldig”

Google verklaart StartSSL en StartCom certificaten “ongeldig”

On december 3, 2017, Posted by , In ICT Nieuws, By ,,,,,, , With Reacties uitgeschakeld voor Google verklaart StartSSL en StartCom certificaten “ongeldig”

Nadat Google eerder al de SSL-certificaten van Symantec, RapidSSL, Thawte en GeoTrust “ongeldig” verklaarde worden nu ook de certificaten van StartSSL (StartCom) als “onveilig” gemarkeerd door Google en andere browsermakers.

WoSign
In Augustus 2016 constateerde GitHub dat WoSign, een populaire SSL-uitgever in China, SSL-certificaten had uitgegeven zonder correcte verificatie. Onderzoek wees uit dat men certificaten “anti-dateerde”, zodat gebruikers onveilige certificaten konden blijven gebruiken.

Verder bleek dat WoSign in het geheim StartCom had overgenomen en hun dubieuze praktijken ook via StartCom toepaste. StartCom, een van oorsprong Israëlisch bedrijf en hoog aangeschreven, was daarmee in (verkeerde) Chinese handen gekomen. Het gevolg hiervan was dat Google, Apple en Mozilla besloten de support voor niet alleen WoSign maar ook StartSSL certificaten te stoppen tenzij StartCom de nodige aanpassingen zou doorvoeren. StartCom beloofde beterschap maar heeft tot nu toe niet aan de eisen kunnen voldoen.

Mozilla’s account of its inquiry indicates that problems with WoSign date back at least to early 2015. WoSign did not immediately respond to a request for comment. The company claims to be one of the largest digital certificate providers in China. A tag line emblazoned on its website reads, “Making the internet more secure and trusted.” (The Register)

StartCom stopt met certificaten uitgeven
Vandaag liet StartCom ons weten te stoppen met het uitgeven van SSL-certificaten. In de mail die wij vandaag ontvingen schrijft StartCom onder andere het volgende:

The browsers imposed some conditions in order for the certificates to be re-accepted. While StartCom believes that these conditions have been met, it appears there are still certain difficulties forthcoming. Considering this situation, the owners of StartCom have decided to terminate the company as a Certification Authority as mentioned in Startcom´s website. StartCom will stop issuing new certificates starting from January 1st, 2018 and will provide only CRL and OCSP services for two more years.

Voor zover ons bekend zijn er door ons geen certificaten (meer) bij klanten geïnstalleerd van StartCom de laatste 2 jaar. Gebruikt U zelf certificaten van StartCom of StartSSL dan is het dus zaak deze zo snel mogelijk te vervangen. Als gratis alternatief bieden wij Let’s Encrypt, een door Google vertrouwde en gesteunde uitgever. Daarnaast kunt u via ons ook betaalde certificaten van vertrouwde partijen afnemen.

Voor het StartCom “label” betekent het in zee gaan met de Chinese partners het einde van hun dienstverlening. Per 2020 stoppen ze met hun diensten.

Comments are closed.