Nach Ablauf des Monats September betrachtet Microsofts Windows 10 neu ausgestellte Zertifikate der chinesischen Zertifizierungsstellen (CA) StartCom und WoSign als nicht mehr vertrauenswürdig. Alle vorher ausgestellten Zertifikate der beiden Authorities funktionieren noch so lange, bis sie abgelaufen sind, erklärt Microsoft in einem Blog-Eintrag.
Damit sind sie in guter Gesellschaft von Apple, Google und Mozilla, die den CAs schon Ende 2016 das Vertrauen entzogen. Als Grund dafür werden auch diverse Verstöße gegen Zertifikatsrichtlinien genannt. So gelang es zum Beispiel einem Sicherheitsforscher, ein gültiges Zertifikat für die GitHub-Domain zu bekommen. Außerdem setzen beide CAs noch auf das nicht mehr sichere SHA-1.
Die Vorgehensweise von Microsoft, Apple, Google und Mozilla.wirkt auf den ersten Blick ziemlich hart, aber wenn man sich im Geschäft mit Zertifikaten nicht an die Regeln hält, hat man schnell alles Vertrauen verspielt – und letztlich basiert die Wahrung von Authentizität und Integrität im Internet durch Zertifikate ausschließlich auf diesem hohen Gut.
