- Door
- Arnout Veenman
- geplaatst op
- 3 november 2016 08:00 uur
Na Apple en Mozilla heeft ook Google besloten om de SSL-certificaten van WoSign en StartCom niet langer meer te vertrouwen. De certificate authorities in kwestie worden door Google Chrome versie 56 en later niet meer vertrouwd. Wel geldt er een overgangsperiode voor SSL-certificaten van beide registries die zijn uitgegeven voor 21 oktober 2016.
De reden voor Google om de actie te ondernemen, is dat beide CA’s zich niet hebben gehouden aan de hoge standaarden die door Google aan CA’s worden gesteld. WoSign heeft op 17 augustus dit jaar een certificaat uitgegeven voor één van de domeinnamen van GitHub zonder hun toestemming.
Na onderzoek bleek dat WoSign bewust en opzettelijk bepaalde SSL-certificaten zonder toestemming heeft uitgegeven om beperkingen van browsers te omzeilen en de richtlijnen voor CA’s te omzeilen. Uit dit onderzoek bleek dat StartCom, een andere CA, overgenomen was door WoSign. In plaats van hier transparant over te zijn deden beide bedrijven hun best om dit te verbergen en browserfabrikanten over de relatie tussen beide bedrijven te misleiden. Mozilla heeft een lijst met de problemen met WoSign gepubliceerd.
Nu ook Google WoSign en StartCom niet meer vertrouwt, is het vermoedelijk over en uit met deze CA’s of beter gezegd rotte appels. De kwestie doet denken aan de kwestie met DigiNotar. Al ging het daar waarschijnlijk niet om opzet maar om onmacht. Ik weet niet wat erger is.
Hoe dan ook is het een goede zaak dat er weer rotte appels onder de CA’s zijn gerooid. SSL-certificaten zijn essentieel voor een goede werking van het internet en daar moeten we blind op kunnen vertrouwen. Het is daarom net zo essentieel dat browserfabrikanten, zoals Apple, Google en Mozilla hun verantwoordelijkheid nemen om daar iets aan te doen. Het is nu nog wachten op Microsoft om hetzelfde te doen.
