Bei der chinesischen Certificate Authorities (CA) WoSign und ihrem israelischen Ableger StartCom traten in jüngster Vergangenheit immer wieder Unregelmäßigkeiten auf, die Zweifel an der Vertrauenswürdigkeit der Authorities schürten.

Beispielsweise gelang es einem Admin, sich ein gültiges Zertifikat für eine GitHub-Domain ausstellen zu lassen. WoSign hatte offensichtlich bei der Überprüfung geschlampt, ob der Admin tatsächlich die Kontrolle über diese Domain hat.

Diesen Vorfall meldete der Zertifikats-Herausgeber aber offenbar nicht an die Browserhersteller, von deren Gunst die CAs allerdings vollständig  abhängig sind: Mozilla entscheidet nämlich selbst, welche CAs der Firefox-Browser als vertrauenswürdig ansieht und welche nicht.

Wer es sich mit den Browserherstellern verscherzt, dessen Zertifikate sind dann plötzlich nichts mehr wert, weil die Browser eine kontraproduktive Sicherheitswarnung anzeigen, sobald  sie auf Zertifikate von nicht als vertrauenswürdige Herausgeber eingestuften Herausgebern stoßen.

Mozillas Sicherheitsteam hat seine Schritte gegen die offenbar unsauber arbeitenden Zertifikats-Herausgeber (CA) WoSign und StartCom konkretisiert: Firefox wird ab Verson 51 keinen Zertifikaten der CAs mehr vertrauen, die erst nach dem 21. Oktober dieses Jahres gültig wurden. Langfristig will der Browserhersteller auch den Wurzelzertifikaten der beiden CAs das Vertrauen entziehen.