Om ikke lenge vil nettsteder som benytter sikkerhetssertifikater med sertifikater fra WoSign og StartCom øverst eller i midten av tillitskjeden, ikke lenger fungere i flere av de vanligste nettleserne. Årsaken er at kinesiske WoSign ikke har overholdt de kravene som forventes av sertifikatutstedere. Etter mange hendelser har nettleserleverandørene rett og slett mistet tilliten til WoSign. Og det er nettleserleverandørene som bestemmer reglene.
Hvorfor StartCom også er berørt, kommer vi tilbake til litt senere i saken.
Les også: Tusenvis av nettsteder rammet av sertifikatfeil
Sertifikat på ville veier
Listen med hendelser som Mozilla vedlikeholder, inkluderer ting som har skjedd helt fra januar 2015 og fram til nå. Blant de mest alvorlige er at WoSign i fjor, uten tillatelse, utstedte et sertifikat til et av GitHubs domener. Årsaken til dette skal ha vært en feil i WoSigns systemer.
Personen som oppdaget dette, skal ha varslet Google i august i år for å fortelle at det aktuelle sertifikatet ennå ikke var blitt tilbakekalt, et år etter at det ble utstedt. Hendelsen skal heller ikke ha blitt omtalt i den uavhengige revisjonen av WoSign, utført av Ernst & Young Hong Kong.
Dette har i sin tur ført til at i alle fall Mozilla ikke lenger anerkjenner revisjoner utført av Ernst & Young Hong Kong.
Leste du denne? Mener tiden er inne for å ta i bruk kryptoteknologien TLS 1.3
Stilte tilbake datoen
Det er likevel en annen hendelse som anses som mest alvorlig. Som tidligere omtalt var 1. januar 2016 satt som siste frist for å slutte å utstede sikkerhetssertifikater basert på den kryptografiske hashfunksjonen SHA-1, som ikke lenger anses som sikker. Nettleserbrukere som besøker nettsteder som bruker SHA-1-sertifikater utstedt etter denne datoen, vil få en advarsel i nettleseren.
Etter at fristen hadde utløpt, skal WoSign ha utstedt flere titalls sertifikater hvor startdatoen («notBefore») var blitt tilbakestilt til et tidspunkt i desember 2015. Dermed kunne de fortsatt bruke den utdaterte hashteknologien i sertifikatene, uten at nettleserne protesterte.
_logo.svg.png){kind=logo}
Les mer: Vil framskynde blokkeringen av usikker krypto
StartCom
Mens WoSign nok stort sett brukes av kinesiske nettsteder – men ganske mange og store, skal vi tro kundelisten – har nok StartCom vært langt mer aktuell å bruke for norske nettsteder, spesielt blant de små og privateide. StartCom har nemlig i flere år tilbudt gratis sikkerhetssertifikater med svært begrenset autentisering, men som likevel har gjort det mulig for nettstedeierne å ta i bruk HTTPS på nettstedet uten å måtte betale for å unngå advarsler i nettleseren.
Årsaken til at nettleserleverandørene ikke heller ikke har tillit til StartCom lenger, er at selskapet har blitt kjøpt av nettopp WoSign. Ifølge Google skal i praksis hele selskapet blitt erstattet med WoSigns infrastruktur, ansatte, policyer og utstedelsessystemer. Dette skal ha skjedd uten at nettleserleverandørene ble varslet.
Da sertifikatutstederne til slutt ble konfrontert med beviser for at dette hadde funnet sted, skal ledelsen i selskapene aktivt ha forsøkt å villede nettleserfellesskapet om både oppkjøpet og forholdet mellom de to selskapene.
Dermed var tillitsforholdet mellom nettleserleverandørene og StartCom en avsluttet affære.
For mange av brukerne av gratissertifikatene til StartCom vil det nå være naturlig å bruke gratissertifikater fra Let's Encrypt i stedet. Mozilla er blant aktørene som står bak dette initiativet, noe som nærmest er en garanti for at tjenesten overholder sertifikatkravene som blant annet Mozilla er med på å diktere.
Les også: – Bare et tidsspørsmål før Google og Mozilla vil kreve sikre websider
Gradvis blokkering
Blokkeringen av sertifikater utstedt av WoSign og StartCom vil skje gradvis. Apple var tilsynelatende først ute med å varsle om slike planer. I slutten av september gjorde selskapet det klart at det vil blokkere mellomliggende sertifikater og rotsertifikater fra de to sertifikatutstederne dersom disse er utstedt etter den 19. september i år.
I notat fra slutten av september skriver Apple at blokkeringen vil bli aktivert gjennom en sikkerhetsoppdatering til det aktuelle operativsystemet. Det er uklart om denne har blitt utgitt ennå.
Sertifikater som er utstedt med rot- eller mellomliggende sertifikater fra WoSign eller StartCom fram til og med den 19. september, vil i utgangspunktet være gyldige fram til de utløper.
Mozilla og Google skal med henholdsvis Firefox 51 og Chrome 56 begynne å blokkere sertifikater som er utstedt av WoSign eller StartCom etter den 21. oktober i år. I utgangspunktet vil de tidligere utstedte sertifikatene fortsette å fungere inntil i utløper, men Google opplyser at det vil være unntak i Chrome.
– På grunn av et antall tekniske begrensninger og bekymringer, vil ikke Google Chrome være i stand til å stole på alle eksisterende sertifikater samtidig som at vi sikrer at våre brukere er tilstrekkelig beskyttet mot ytterligere feilutstedelser. Som et resultat av dette kan det være at kunder av WoSign eller StartCom vil oppleve at deres sertifikater ikke lenger fungerer i Chrome 56.
Det er uklart om andre nettleserleverandører, inkludert Microsoft, har planer om å gjøre det samme.
Har du gjort alt som skal til? Slik kan nettstedet gjøres sikrere
Misfornøyd eier
Ifølge en pressemelding StartCom publiserte i september, som omtaler en investering WoSign hadde gjort i StartCom, hevdes det at StartCom er verdens sjette største sertifikatutsteder, mens WoSign er den utstederen som har størst markedsandel i Kina.
I pressemeldingen opplyses det at StartCom har etablert nye kontorer i blant annet Storbritannia, Spania og Kina etter å ha mottatt investeringen fra WoSign. Men ingen av forholdene som er nevnt over, ser ut til å være omtalt av selskapet.
Ifølge The Register eies WoSign primært av Qihoo 360, som blant annet er en stor leverandør av sikkerhetsprodukter på det kinesiske markedet. I Norge er selskapet kanskje mest kjent for å være blant blant eierne av investeringsfondet som har kjøpt deler av Opera Software.
Etter at forholdene hos WoSign og StartCom ble kjent, skal Qihoo 360 ha sørget for betydelig hoderulling i ledelsen til begge de to selskapene. Men lite tyder på at dette, sammen med ulike løfter om opprydding, vil ha noen effekt på nettleserleverandørenes avgjørelser. Google kunngjorde tross alt selskapets avgjørelse så sent som i mandag denne uken.
