Violaciones de la política de certificado fuerza reforma StartCom y WoSign

0
168

Sustituirá a la gerencia superior de StartCom y WoSign y las autoridades de dos certificado se someterán a auditorías después vendedores de explorador descubrieron que publicaron mal muchos certificados digitales, violando las normas de la industria.

La investigación lanzada por Mozilla condujo al descubrimiento de 13 casos donde WoSign en China y su filial StartCom certificados emitieron con distintos tipos de problemas. Evidencia también se encontró que ambos CAs emitido certificados firmados con el algoritmo SHA-1 después del 1 de enero en violación de las normas de la industria anterior intencionalmente para evitar ser capturado.

Como resultado, Mozilla dice que ha perdido la fe en la capacidad de WoSign y StartCom correctamente para llevar a cabo las funciones de una entidad y anunció que dejará de confiar en nuevos certificados de las dos empresas. Apple siguió su ejemplo y su prohibición para los futuros certificados WoSign y StartCom anunció la semana pasada.

WoSign proporciona explicaciones para todos los problemas descubiertos en una respuesta detallada el viernes y admitió que había emitido certificados anticipados 64, 42 intencionalmente. Esto va a costar al WoSign CEO, Richard Wang, su trabajo.

“WoSign reconoce que cometió un error grave de expedición de certificados de rescate 64. “Es responsabilidad del CEO WoSign mantener veracidad técnico y operativo según las normas de CA (no incluida la retroacción) y hubo un no hacerlo, dijo WoSign en su respuesta. “WoSign fue contactado por clientes solicitando a SHA-1 y WoSign cometido un error aprobar certificados de rescate. Durante medio año 2016, StartCom fue contactado por Tyro para un certificado de SHA-1 y Richard Wang aprobada la emisión, que fue un error.”

La compañía dijo que tomó la decisión de retrotraer los certificados para ayudar a los clientes desesperados en China que ya no pueden obtener certificados de SHA-1 y tenían problemas para apoyar a los millones de computadoras en el país que todavía utilizan Windows XP con Service Pack 2.

Empresa de seguridad de Internet China Qihoo 360, que posee una participación mayoritaria en WoSign e implícitamente en StartCom, ha intervino y decidió separar los dos CAs.

“360 ‘ s equipo de desarrollo corporativo ha sido notificado a ejecutar el proceso para separar legalmente Wosign y Startcom y comenzará a ejecutarse reasignaciones de personal,” dijo la empresa. «Presidente de StartCom será Tan Xiaosheng (jefe oficial de seguridad de Qihoo 360). CEO de StartCom será Iñigo Barreira (ex GM de StartCom Europa). Richard Wang será relevado de su cargo como CEO de WoSign. “

Qihoo 360 señaló que StartCom opera como una obediente CA durante muchos años y que su único error después de haber sido adquirida por WoSign emitir dos certificados de rescate con la aprobación de Wang.

Por ello la compañía quiere StartCom ser separados completamente y reportará directamente a Qihoo. También quiero proveedores de navegador a considerar las repercusiones de este incidente por separado para WoSign y StartCom. Este último está preparando su propia respuesta y plan de go-forward.

StartCom fue fundada en 1999 en Israel y ha sido el primer CA ofrecer certificados digitales gratis. La mayoría de clientes de la empresa son de fuera de China, a diferencia de WoSign. Una prohibición sobre los futuros certificados de StartCom obligaría a muchas organizaciones en Europa, América del norte y otros lugares para buscar nuevos proveedores de certificado cuando caduquen los certificados existentes.


Violaciones de la política de certificado fuerza reforma StartCom y WoSign

Credit:

IDGNS


LEAVE A REPLY