Zertifizierungsstellen: WoSign und StartCom verlieren Apples und Mozillas Vertrauen

Thorsten

SSF Facilitymanagement
Staff member
Na ja, das letzte Wort schein da wohl noch nicht gesprochen zu sein:
https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/1XI3Y7PJ1Uc/adupAcD-FgAJ said:
This meeting happened today; thank you to representatives of Qihoo 360,
StartCom and WoSign who travelled great distances to come. I'm happy
that Mozilla was able to successfully communicate what we hoped to see
from these companies, and expect to see a proposed plan from them very
shortly.

Once that plan is published, we will be able to discuss whether the
steps contained in it should lead to Mozilla changing our proposal for
the measures we intend to take.

Gerv
mfG
Thorsten
 

lyn2k9

Member
Alternativen

könnt ihr Alternativen vorschlagen?

Ich finde StartSSL sehr praktisch für die Absicherung von meinem privaten Blog oder einer OwnCloud Instanz.
 

nexus

Active Member
Wird Zeit, dass die OS Windows und Linux auch nachziehen.
Und dann?

Immer weniger Leute, Firmen, Vereine, etc. sind bereit, die Wucherpreise mancher Zertifikatanbieter zu bezahlen. LetsEncrypt ist auch nur bedingt eine Alternative. Es werden dann vermutlich wieder mehr self-signed Certs verwendet werden, die der normale Nutzer wie bisher auch ohne Bedenken absegnet und eine Ausnahme für das Cert hinzufügt. So wird das Internt nicht sicherer...

Davon abgesehen...Mozilla hat ja bei LE die Finger im Spiel und will jetzt Startcom rauswerfen...ein Schelm, wer böses dabei denkt :rolleyes:
 
Last edited by a moderator:

DeaD_EyE

Blog Benutzer
Ich finde es gut, dass die Browserentwickler endlich mal Druck ausüben. Dahinter steht nicht nur Mozilla. Der Markt regelt das danach schon...
 

Rukola

New Member
Auch gerade gelesen :( Zu den Hintergründen kann ich schon verstehen warum die das machen. Was ich wesentlich schlimmer finde ... irgendwie ist an mir vorbei gegangen, dass die chinesen StartCOM gekauft haben !?

Auch ich bin StartCOM Kunde und habe auch gerade erst mein Vertrag verlängert. Kann man da in Bezug auf Rückerstattung einen Hebel ansetzen ? Wenn google nachzieht (und das werden sie) werden deren Zertifikate Schrott und unbrauchbar. Dann kann ich auch wieder eigene erstellen ^^

Allerdings habe ich mich noch nicht mit diesem LetsEncrypt beschäftigt, möchte aber auch nicht irgendeinen Client installieren der dann einfach so Konfigurationen ändert ...wenn ich das so richtig verstandne habe.
 

GwenDragon

Registered User
Du warst nicht informiert über das Web? Wie unpraktisch.
Aber auch hier wuerde was geopostet: https://serversupportforum.de/threads/startcom-startssl-von-wosign-uebernommen.57207/

Aber Startcom ist nicht verpflichtet, dich zu informieren. Startcom nebst StartSSL wurde von einer Investorgruppe aufgekauft.
Natürlich bekommst du kein Geld seitens Startcom zurück, nur weil Browserhersteller ihr Produkt ändern.

Und warum regst du dich jetzt auf? Kein Vertrauen mehr?
Dann musst du andere Zertifikate verwenden.
 

GwenDragon

Registered User
Immer weniger Leute, Firmen, Vereine, etc. sind bereit, die Wucherpreise mancher Zertifikatanbieter zu bezahlen.
Korrekt. Freiberuflern und kleineren Firmen sind die Preise ein Graus. Mir auch, privat nutze ich Lets Encrypt, aber die Firma hat ein eigenes Root CA erstellt und signiert damit. Nicht optimal, aber so bleibt die Kontrolle dort.

LetsEncrypt ist auch nur bedingt eine Alternative.
Korrekt. Nur eine Subdomain möglich, wer hat schon so wenig Subdomains.

Es werden dann vermutlich wieder mehr self-signed Certs verwendet werden, die der normale Nutzer wie bisher auch ohne Bedenken absegnet und eine Ausnahme für das Cert hinzufügt. So wird das Internt nicht sicherer...
Korrekt. Selbstsigniert.
Sicherer mit "zertifizierten" teuren Zertifikaten? SSL-Zertifikate sind immer TOFU, daran ändert eine überteuerte Root-CA nix. Nur weil deren Root-Zertifikate über die Betriebssysteme eintrudeln, ist das Vertrauen groß?
Oder wie meinst du das mit "sicherer"?
 

danton

Debian User
Korrekt. Nur eine Subdomain möglich, wer hat schon so wenig Subdomains.
Was meinst du mit nur einer Subdomain? Bei Lets Encrypt ist es kein Problem, ein Zertifikat für eine Domain und mehrere darunter befindliche Subdomains zu erstellen - habe letzten Monat auf LetsEncrypt umgestellt und entsprechende Zertifikate mit dem certbot erstellen lassen. Eine Domain steht bei mir noch aus, da steht aber ein größerer Umbau der Seite an sich an - ich hoffe, dass da das StartSSL-Zertifikat noch bis zum Ablauftermin "durchhält".

Bezüglich der Sicherheit von selbstsignierten Zertifikaten: Die eigentliche Verschlüsselung ist erst mal nicht sicherer oder unsicherer wie mit einem von einer CA signierten Zertifikat. Die CA überprüft nur die Identität bzw. im Falle von LetsEncrypt und den kostenlosen StartSSL-Zertifikaten nicht mal das, sondern nur, ob man eine gewisse Kontrolle über eine Domain hat. Bei einer CA vertraue ich jemand komplett unbekannten, dass er die Identitätsprüfung korrekt vorgenommen habe. Warum ist das sicherer? Gab ja in der letzten Zeit immer wieder Meldungen, dass eine CA ein Zertifikat für eine bekannte Seite erstellt hat, das diese Seite aber gar nicht nutzt (war da nicht kürzlich noch was mit Verisign/Symantec und Google?).
 

nexus

Active Member
Oder wie meinst du das mit "sicherer"?
Okay, hab ich blöd formuliert.
Aus Sicht des durchschnittlichen Surfers erscheint das Internet unsicherer, wenn er vermehrt self-signed Certs absegnen muß...zumal auch dann, wenn er sich das Cert oberflächlich anschaut und sieht, daß es vielleicht abgelaufen oder für eine völlig andere Domain ausgestellt wurde.
Er sieht also weniger grüne Schlösser in der Adreßleiste und bekommt mehr Fehlermeldungen, daß die von ihm aufgerufenen Seiten unsicher sind.
Das wollte ich damit ausdrücken...

Zum Thema ansich:
Würde mich ehrlich gesagt nicht mal wundern, wenn jetzt angeregt durch solche Vorgänge andere Internetgrößen wie Google oder sogar Saggerbörg ihre eigene CA etablieren ;):cool:
 
Last edited by a moderator:

IP-Projects.de

verifizierter Anbieter
Gibt ja noch die kostenlosen SSL Zertifikate von Symantec/Geotrust. Man muss sich nur die Domain beim richtigen Provider registrieren :)
 

[netcup] Felix

Blog Benutzer
Die Zertifikate bekommt man auch ohne bei InternetX Domains zu registrieren. Allerdings gibt es seitens Symantec keine Zusicherung, dass die Zertifikate nicht doch einmal Geld kosten werden. Aus dem Grund nutzen wir jetzt LE. Das bleibt definitiv kostenlos.


Schönes WE

Felix
 

Joe User

Zentrum der Macht
[netcup] Felix;378469 said:
Aus dem Grund nutzen wir jetzt LE. Das bleibt definitiv kostenlos.
Da wäre ich mir nicht so sicher, schliesslich verbraten Die da aktuell nach eigenen Angaben knapp 200.000 $US im Monat (Tendenz steigend) und die wollen erstmal eingenommen werden. Dauerhaft werden die Sponorengelder jedenfalls nicht reichen und von der "Community" ist kaum Geld zu erwarten, schliesslich könnte man stattdessen auch das Geld in kommerzielle Zertifikate mit längeren Laufzeiten und Support stecken.

Lange wird LE mit seinem aktuellen Konzept und Finanzen nicht durchhalten, zumal Sie sich mit der aktuellen Spendensammelaktion einige Sponsoren vergraulen, denn kein (potentieller) Sponsor liest gerne, dass man sich bei LE unabhängiger von Sponsoren machen will...

LE ist nur ein Hype...
 

IP-Projects.de

verifizierter Anbieter
Die Zertifikate bekommt man auch ohne bei InternetX Domains zu registrieren. Allerdings gibt es seitens Symantec keine Zusicherung, dass die Zertifikate nicht doch einmal Geld kosten werden. Aus dem Grund nutzen wir jetzt LE. Das bleibt definitiv kostenlos.
Hast vergessen darauf hinzuweisen dass es auch bei Hetzner kostenlose SSL Zertifikate von Symantec gibt :) Sicher kann Symantec jederzeit sagen, dass die SSL Zertifikate nicht mehr kostenlos angeboten werden. Dennoch haben unsere Kunden dann für 12 Monate ein kostenloses SSL Zertifikat erhalten. Der Prozess klappt auch voll automatisiert bei 90 % der Kunden, Symantec blockt aber manche Domains aus unerklärlichen Gründen aber man kann ja auch alternativ LE nutzen. Parallel hier beides anzubieten ist eigentlich ganz nett für die Kunden.

Grundsätzlich, wenn die Browser anfangen SSL CAs auszuschließen, werden hier sicher noch interessante Dinge am Markt passieren.
 
Top