Startcom/Startssl von Wosign übernommen?

[GwenDragon]

Ist Startcom und StartSSL wirklich noch zu trauen?
Es wird ja hier immer wieder empfohlen (ich benutze keines von denen) dies kostenlosen Zertifikate zu nutzen.
Startcom Ltd. ist möglicherweise von Wosign übernommen worden?

Wosign ist chinesische eine Zertifizierungsstelle, die Zertifikate auch kostenlos ausstellt, aber leider nicht durch Vertrauenwürdigkeit aufgefallen ist. So ließen sich Zertifikate für bereits bestehende Domains ausstellen.

Quelle:
https://www.letsphish.org/
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html
https://beta.companieshouse.gov.uk/company/09744347/officers

Was wisst ihr? Oder ist das nur FUD im Sommerloch?

 

[Joe User]

Ist Startcom und StartSSL wirklich noch zu trauen?

Ja, warum auch nicht?

Startcom Ltd. ist möglicherweise von Wosign übernommen worden?

Nein. Startcom hat lediglich nach UK und CN expandiert und das ist old News.

Wosign ... aber leider nicht durch Vertrauenwürdigkeit aufgefallen ist. So ließen sich Zertifikate für bereits bestehende Domains ausstellen.

Das war oder ist bei ausnahmslos allen CAs möglich und kein Grund an der Vertrauenswürdigkeit zu zweifeln.

Oder ist das nur FUD im Sommerloch?

FUD


Und selbst wenn es so wäre, gäbe es aktuell absolut keinen Grund einer anderen CA mehr zu vertrauen.

 

[MadMakz]

Zu trauen bislang wohl ja, wobei ich persönlich einer israelischen Zertifizierungsstelle nicht mehr oder weniger traue als einer Britischen od. U.S. amerikanischen.
Zuverlässig sind sie allerdings nicht.

Konnte mich schon mehrmals über mehrere Tage hinweg nicht in deren Interface einloggen um Renews zu tätigen.
Da ich aber nur Class 1 benötige bin ich beim letzten Misserfolg letztendlich komplett nach Letsencrypt umgezogen.

 

[GwenDragon]

Ja, das kenne ich auch. StartSSL hatte früher oft Probleme mit dem Interface. Letztendlich hat dann bei privaten Domains Let's Enrcrypt gesiegt.

 

[MadMakz]

http://www.percya.com/2016/09/wosigns-secret-purchase-of-startcom.html?m=1

 

[Deleted member 11740]

Ich würde mein Geld auch mal gerne auf diese Weise, wie diese Unternehmen es tun, generieren. Muss man seine Seele dafür verkaufen? An wen muss man sich wenden, damit die eigene CA in allen Browsern vertreten ist? Dieses komplette Verfahren ist und bleibt für den Endanwender völlig undurchsichtig. Leider haben wir nicht besseres. Das ist doch sowas von kaputt.

 

[GwenDragon]

ich habe immer gerätselt unter welchen Umständen eine Firma ein in Browsern akkreditierte CA wird.
Das findet vielleicht in Hinterzimmern statt oder mit Geheimverträgen. Wer weiß.
Gegen Intransparenz sind Nutzer eh machtlos. Und eine nachvollziehbarere Kontrolle gibt es nicht.

Warten wir ab, bis die erste Windows-Malware mit Wosign-zertifizierte Treiber einschleust.

 

[Dragon0001]

Ganz so intransparent ist der Prozess auch wieder nicht: https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/
Bei anderen Browser-Herstellern mag es allerdings anders aussehen.