Google se rozhodl potrestat certifikační autoritu WoSign a její dceřinou společnost StarCom, za neoprávnění vydání základního certifikátu pro jednu z domén GitHub neznámému uživateli této služby na základě toho, že měl přístup jen k subdoméně. Tento incident byl přímo nahlášen bezpečnostním týmem GitHub 17. srpna 2016.
Po tomto incidentu zahájil Google veřejné šetření ve spolupráci se společností Mozilla a komunitou uživatelů zabývající se bezpečností. Společně odhalili několik dalších případů chybně vydaných certifikátů společností WoSign. Jednalo se zvláště o úmyslně vydané certifikáty se starším datem, aby mohli používat ještě zastaralý SHA-1.
Následně došlo k omezení důvěryhodnosti certifikátů od WoSign s datem vydání před 21. říjnem 2016, tedy pro Chrome od verze 56.
Začátkem července vydali zástupci bezpečnostního týmu Chrome veřejné prohlášení, kde Chrome od verze 61 kompletně přestane důvěřovat všem SSL certifikátům, které vydala certifikační autorita WoSign, tedy včetně StarCom.
A co to pro vás znamená? Pokud používáte certifikát od WoSing anebo StartCom, tak od září 2017 uvidí vaši návštěvníci v prohlížeči Chrome varování. Vývojáři Chrome doporučují neprodleně je nahradit za jiné, aby vaši návštěvníci nebyli zbytečně vyděšeni.
S WoSign nemá problém jen Google. Minulý rok společnosti Apple a Mozilla ve svých prohlížečích přestaly důvěřovat WoSign a StartCom z důvodu řady technických a organizačních problémů. U Mozilla byl hlavním důvodem ukončení podpory SHA-1 SSL certifikátů k 1. lednu 2016. Také se jim nelíbilo že společnost převzala StarCom a řádně to nezveřejnila, což pravidla Mozilla vyžadují.
Tento článek byl byl přečten 7150 krát