• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Chrome 57 OHNE STARTSSL Unterstützung ab sofort

Bierteufel

Registered User
Chrome 57 ab sofort OHNE STARTSSL Unterstützung

Der nun freigegebene CHROME 57 unterstützt definitiv KEINE StartSSL/StartCom Zertifikate mehr, auch wenn diese noch VOR dem dem 21. Oktober 2016 ausgestellt wurden.

(Nur noch SSL Zert für: trusted to the set of domains intersecting the Alexa Top 1M)

Nur falls da jemand noch überrascht wird :)
 
Last edited by a moderator:
auch wenn diese noch VOR dem dem 21. Oktober 2016 ausgestellt wurden

Diese Deadline hatte sich Mozilla gesetzt, da muß sich ja Google nicht dran halten.
Zumindest kann man die "Broken HTTPS"-Meldung übergehen und die Seite trotzdem noch aufrufen.
 
Beginning with Chrome 56, certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC will not be trusted. Certificates issued before this date may continue to be trusted, for a time, if they comply with the Certificate Transparency in Chrome policy or are issued to a limited set of domains known to be customers of WoSign and StartCom.

Das war zumindest das Datum was "überall" kursierte.

Im Changelog vom Chrome 57 hat Google aber auch nichts dazu geschrieben.

Wie dem auch sei, gibt es nun einen harten Schnitt..
 
Das stimmt auch so nicht.
Was Chrome ab der 57 nicht schmeckt ist eine SHA1 signierte Seite.
Bei SHA2 wird auch die CA von Startcom als sicher eingestuft.

Zumindest mit der : 57.0.2987.98 (Offizieller Build) (64-Bit)
 
hmm https://www.feste-ip.net/mein-account/ auch aber da kommt keine Warnung im Chrome.

Edit: Das eine Zert ist mit der StartCom Class 3 OV Server CA signiert und erzeugt einen Fehler. Das andere mit StartCom Class 2 Primary Intermediate Server CA da kommt "aktuell" noch keine Warnung.

Edit2: Class 1 Zerts scheinen auch betroffen.
 
Last edited by a moderator:
hmm https://www.feste-ip.net/mein-account/ auch aber da kommt keine Warnung im Chrome.

Edit: Das eine Zert ist mit der StartCom Class 3 OV Server CA signiert und erzeugt einen Fehler. Das andere mit StartCom Class 2 Primary Intermediate Server CA da kommt "aktuell" noch keine Warnung.

Edit2: Class 1 Zerts scheinen auch betroffen.

Vermutlich liegt es an der CHAIN:

Common name: StartCom Class 2 Primary Intermediate Server CA
Organization: StartCom Ltd.
Location: IL
Valid from October 14, 2007 to October 14, 2022
Serial Number: 8069548958653521 (0x1cab36472d9c51)
Signature Algorithm: sha256WithRSAEncryption
Issuer: StartCom Certification Authority


Wird noch akzeptiert.

Common name: StartCom Class 3 OV Server CA
Organization: StartCom Ltd.
Location: IL
Valid from December 15, 2015 to December 15, 2030
Serial Number: 138bfef33294f9d816f945c271952998
Signature Algorithm: sha256WithRSAEncryption
Issuer: StartCom Certification Authority


Wird nicht mehr akzeptiert.
 
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Beginning with Chrome 56, certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC will not be trusted. Certificates issued before this date may continue to be trusted, for a time, if they comply with the Certificate Transparency in Chrome policy or are issued to a limited set of domains known to be customers of WoSign and StartCom.

Irgendwo muss sich ja Startcom bzw. Wosign nicht an die Transparenz-Regeln gehalten haben, sonst würde das Zertifikat ja in der Liste der vertrauenswürdigen bei Chrome 57 drin sein.


Für "StartCom Class 3 OV Server CA" existieren zwei CA_Zertifikate laut https://ssl-tools.net/subjects/e6a1e4cf2f368ab2fd87168720807d127f1ca426#5af7d2e080

Wer will kann sich ja durch das zugehörige Doc auf https://docs.google.com/document/d/...szuSB4sMYUcVrR8vQ/edit#heading=h.8d57itqyp2jq wühlen.
 
Last edited by a moderator:
Irgendwo muss sich ja Startcom bzw. Wosign nicht an die Transparenz-Regeln gehalten haben, sonst würde das Zertifikat ja in der Liste der vertrauenswürdigen bei Chrome 57 drin sein.

Naja sie haben es ja bereits angekündigt gehabt:

commit e719fc626a3b9a528bf226b704785bcb24d07868
author Ryan Sleevi <rsleevi@chromium.org> Fri Jan 27 21:14:49 2017
committer Ryan Sleevi <rsleevi@chromium.org> Fri Jan 27 21:14:49 2017
Restrict the set of WoSign/StartCom certs to the Alexa Top 1M
Restrict the set of domains for which WoSign/StartCom certificates
are trusted to the set of domains intersecting the Alexa Top 1M
whose certificates are unexpired and unrevoked.


Spätestens wenn jetzt die Chrome 57 Autoupdate Welle anrollt wird es evtl. noch mehr Infos geben..
 
Was ich früher nicht wusste: Die schlechteste CA bestimmt die Sicherheit im Browser. Ist schon ganz gut, dass Mozilla und Google so vorgehen, auch wenn es für viele bedeutet, dass sie aktiv werden müssen.
 
Mit Alexa Top 1M haben sie immerhin eine recht große Liste mit Ausnahmen aufgenommen...
Was die Sache irgendwie witzlos macht. Da fehlt jede Konsequenz… :(

Für Class 1/2 ist der Schaden Dank Let's Encrypt sowieso relativ gering, wenn man die benötigte Zeit für eine Umstellung nicht einrechnet und davon ausgeht, dass die verwendete Hard-/Software es unterstützt, aber für EV & Co. ist der Schritt so richtig ärgerlich. Vor allem, wenn es nicht jedes StartSSL-Zertifikat betrifft.

Ich bin froh, dass ich letzten Herbst sofort auf LE umgestiegen bin, als ich die Probleme rund um StartSSL mitbekommen habe und die DNS-Validierung von LE fertiggestellt wurde.


MfG Christian
 
Last edited by a moderator:
Ja, eben. Wer da jetzt von der Nicht-Unterstützung durch Chrome "überrascht" wurde, hat die letzten 4-6 Monate hinsichtlich StartSSL geschlafen. ;)
 
as ich früher nicht wusste: Die schlechteste CA bestimmt die Sicherheit im Browser.
Solange bspw die Hong-Kong Post ein standardmässig installiertes Root CA hat stellt sich die Frage wie sicher die Zertifierung überhaupt sein kann. :D

Es wird aber Zeit dass mal geputzt wird und zB wiederholt erwischte Falschaussteller rausgenommen werden. Wie zB.... ääh Symantec?
Die haben es -imho- wiederholt schlimmer verbockt als StartCom/WoSign, sind aber natürlich too-big-to-fail. Man kann ja nicht gut alle Symantec-eigene _UND_ Verisign-Zertifikate rauswerfen.
Quelle: https://arstechnica.com/security/20...antec-issues-more-illegit-https-certificates/
 
Das sehe ich genauso.
Mir fehlt da einfach die Konsequenz.
Damit will ich nicht sagen, dass ich den Rausschmiss von Startcom falsch finde aber IMO muss man das konsequent durchziehen, denn sonst ist das maximal ein Placebo zur Beruhigung der Nutzer und hat einen schalen Beigeschmack.
 
Back
Top