WoSign kondigt herstructurering aan en vervangt ceo na onderzoek Mozilla

Het Chinese bedrijf Qihoo 360, de grootste aandeelhouder van de certificaatautoriteiten WoSign en StartCom, geeft aan een herstructurering van de bedrijven door te voeren. Dit is het gevolg van een onderzoek door Mozilla naar de door de autoriteiten uitgegeven certificaten.

In een reactie in een mailinglijst legt StartCom-oprichter Eddy Nigg uit dat er verschillende maatregelen zijn genomen. Zo zijn StartCom en WoSign uit elkaar gehaald, waarbij StartCom in de toekomst direct onder Qihoo 360 zal vallen. Alle samengevoegde functies van de bedrijven moeten zo uit elkaar gehaald worden, waaronder de ontwikkelingsteams en het management. Ook is WoSign-ceo Richard Wang uit zijn functie ontslagen, zo blijkt uit een uitgebreider rapport van WoSign.

Uit hetzelfde document blijkt dat WoSign 64 certificaten heeft uitgegeven waarop de datum is aangepast om de blokkering van sha-1-certificaten te omzeilen. WoSign laat verder weten dat het alle toekomstige en al uitgegeven certificaten zal publiceren op CT-servers. De veranderingen in de bedrijven moeten ertoe leiden dat 'WoSign en StartCom een bestuur hebben dat begrijpt op welke manier een certificaatautoriteit gerund moet worden en dat zich aan de geldende standaarden houdt'.

Mozilla begon een onderzoek naar de certificaatautoriteiten, omdat die verschillende fouten hebben gemaakt. Zo was het bijvoorbeeld mogelijk om certificaten aan te vragen voor een ander domein en gaf WoSign certificaten uit met de verouderde sha-1-hash. Mozilla gaf eind september aan de certificaten van de autoriteiten te blokkeren. Andere partijen volgden dit voorbeeld. Zo meldde onder andere Apple onlangs dat het de certificaten zou blokkeren.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-10-2016 11:27
9 • submitter: Rafe

10-10-2016 • 11:27

9 Linkedin

Submitter: Rafe

Lees meer

'Mozilla ontslaat 70 mensen om uitstel diensten die omzet moesten verhogen' Nieuws van 15 januari 2020
Certificaatautoriteit StartCom stopt vanwege verlies vertrouwen van browsers Nieuws van 20 november 2017
Windows 10 vertrouwt nieuwe WoSign-certificaten vanaf oktober niet meer Nieuws van 9 augustus 2017
Google begint eigen root-certificaatautoriteit Nieuws van 27 januari 2017
Symantec trekt onterecht uitgegeven certificaten in na melding Nieuws van 23 januari 2017
Mozilla vertrouwt nieuwe WoSign- en StartCom-certificaten niet Nieuws van 25 oktober 2016
Beveiligingsbedrijf komt met dienst om certificaten voor domeinen te controleren Nieuws van 18 oktober 2016
Mozilla gaat certificaatautoriteit WoSign/StartCom straffen Nieuws van 27 september 2016
Meer producten en artikelen
Netwerk en systeembeheer Mozilla Certificaat Security

Reacties (9)

-Moderatie-faq
9
9
9
1
0
0
Wijzig sortering
wica
10 oktober 2016 11:37
Ik vond dit wel zeer verhelderend, omtrent WoSign
https://www.youtube.com/watch?v=ooqglpbL3z4

Waarom zouden we ze nog vertrouwen?
The Zep Man
@wica10 oktober 2016 13:02
Waarom zouden we ze nog vertrouwen?
Wat WoSign waarschijnlijk moet doen is opnieuw door de procedure heen om een CA certificaat in de vertrouwde stores te krijgen van verschillende softwareproducten. Bijvoorbeeld bij Mozilla is dit een complexe en langdurige procedure. Ook zal er opnieuw een audit moeten plaatsvinden, ditmaal niet door Ernst & Young Hong Kong, omdat die de vorige keer geen goede controle uitvoerde en daarom niet meer hiervoor wordt vertrouwd door Mozilla.

Jouw vraag moet je breder trekken: waarom worden bepaalde certificaatautoriteiten vertrouwd? Dat komt door de processen die zij moeten doorgaan voordat hun root certificaten worden opgenomen in de vertrouwde lijsten van softwareleveranciers.

[Reactie gewijzigd door The Zep Man op 11 oktober 2016 08:29]

wica
@The Zep Man10 oktober 2016 13:13
Dit is een procedure, die ze al eens eerder door lopen hebben en na het behalen van goedkeuring / vertrouwen. Zijn ze andere dingen gaan doen, die niet volgens de regels zijn.

Waarom zou je zo'n partij dan nog vertrouwen? Omdat er een poppetje veranderd is?
Jouw vraag moet je breder trekken: waarom worden bepaalde certificaatautoriteiten vertrouwd?
Dit vind ik zowiezo een probleem, er staat 1001 in mijn CA store en welke is wel en welke is niet te vertrouwen. Ofwel, naar mijn persoonlijke mening, is het hele SSL gebeuren valse vorm van veiligheid naar de gebruiker toe.
kvdveer
@wica10 oktober 2016 14:29
> Waarom zou je zo'n partij dan nog vertrouwen? Omdat er een poppetje veranderd is?

Ja. Een heel belangrijk poppetje is veranderd: de auditor. De nieuwe CEO zal vast wel een vriendje zijn van de oude CEO, en moeten we inderdaad niet vertrouwen, maar een nieuwe auditor zal extra voorzichtig zijn. Ernst&Young HK hebben hun geloofwaardigheid verspeeld in dit debacle. Een nieuwe auditor zal een stuk kritischer zijn om hun hachje te redden.

WoSign moet zich opnieuw aanmelden voor een nieuwe CA acceptatie procedure - ieder detail zal opnieuw bekeken moeten worden, en dit keer weten we ook nog waar we naar moeten zoeken. Daar komt bij dat Mozilla extra eisen heeft gesteld, bovenop de standaard procedure. WoSign moet dus niet alleen een poppetje veranderen, ze moeten hun hele bedrijfsvoering omgooien om weer geaccepteerd te worden.

Extreem zwaar straffen (zoals een one-strike-and-you're-out systeem) wordt vaak gezien als de ideale oplossing, maar het werkt slecht in de praktijk. Het stimuleert verstoppen in plaats van verbeteren; een bedrijf dat een slechte interne procedure heeft, kan namelijk beter voorkomen dat het uitlekt, dan dat ze eerlijk zijn en het veranderen. Als een bedrijf (onder voorwaarden) weer terug kan komen na een strafbankje, dan is er in ieder geval nog ruimte voor verbetering. De regels moeten streng zijn, maar er moet altijd hoop zijn op herstel - dat is de wortel die dit soort bedrijven kan drijven.
Yggdrasil
@wica10 oktober 2016 15:20
Dit vind ik zowiezo een probleem, er staat 1001 in mijn CA store en welke is wel en welke is niet te vertrouwen. Ofwel, naar mijn persoonlijke mening, is het hele SSL gebeuren valse vorm van veiligheid naar de gebruiker toe.
Het CA systeem kent inderdaad enkele grote bezwaren, maar het is het enige dat we nu hebben dat grootschalig werkt. Pogingen om een SSL CA te bouwen op basis van een web-of-trust, zoals CAcert.org, blijven steken en ook andere systemen slagen er niet in draagkracht te vinden. Blijkbaar is het vertrouwen in het huidige proces nog voldoende hoog.

Ook al worden er fouten gemaakt (opzettelijk en per ongeluk), deze lijken telkens ontdekt te worden. Systemen als Certificate Transparency (CT), ook in deze post genoemd, helpen daar enorm bij, en browsermakers doen hun best om goed gedrag af te dwingen. De analyse over WoSign van Mozilla is een mooi voorbeeld van hoe misbruik gedetecteerd kan worden.

Daarnaast hoop ik dat technieken als DNSSEC en DANE breder ondersteund gaan worden in browsers. DANE om te zorgen dat het verstuurde certificaat matcht met datgene dat de domeineigenaar verwacht (zo stel ik bijv. op al mijn sites in dat mijn certificaten uitgegeven zijn door Let's Encrypt, via een TLSA-record in DNS, ). DNSSEC dient dan om ervoor te zorgen dat je de data die van van je DNS-resolver krijgt kunt vertrouwen. Helaas alleen ondersteund via plugins op dit moment. :(
CAPSLOCK2000
10 oktober 2016 14:23
Dat ze voortaan meedoen aan CT is vooruitgang maar ze hebben nog veel werk te verrichten voor ze weer ons vertrouwen verdienen. Vertrouwen komt te voet en gaat te paard. Het is heel hard maar dit vakgebied biedt weinig ruimte voor tweede kansen.
kvdveer
@CAPSLOCK200010 oktober 2016 14:36
Ze worden behandeld als een nieuwe CA - dat wil zeggen, zonder enig vertrouwen. Erger nog: Mozilla heeft aanvullende voorwaarden gesteld, dus ze beginnen met een goeie dosis wantrouwen.

Ze zijn hoe dan ook voor 1 jaar geschorst, wat betekent dat veel klanten naar een ander moeten voor hun renewals. Omdat CA's zwakke klantenbinding hebben, zullen ze die klanten vast permanent kwijtraken. Ook heeft Mozilla gedreigd met een retroactieve distrust als ze nog een keer de fout in gaan, dus security-bewuste klanten zullen zich twee keer achter hun oren krabben voor ze weer met WoSign in zee gaan.

Zelfs als WoSign weer geaccepteerd wordt, zullen ze een kleine CA zijn. Hun grote business zijn ze kwijt, die zullen ze langzaam weer op moeten bouwen. Vertrouwen komt inderdaad te voet.
Hydranet
10 oktober 2016 16:12
Toch wel jammer van startcom, daar heb ik nu al mijn certificaten. Ik ben bezig over te gaan naar letsecrypt. Nadeel van lets encrypt is vind ik dat je voor elk subdomein moet valideren, bij startcom hoefde ik mij alleen voor 't hoofd domein te valideren. Bij startcom kon je ook per cert een CN + volgens mij 4 SAN's er gratis bij. Heb laatst nog is goed rond gezocht bij alle CA's die ik ben tegen gekomen waar je voor je certs betaald kon je dat geen eens hetzelfde krijgen. Alleen wildcard of Multi domain SAN, of een single cert.
BHQ
@Hydranet11 oktober 2016 01:04
Bij Let's Encrypt kan je ook gewoon meerdere domeinen in 1x meegeven hoor (multi domain cert).

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee