StartCom SSL не смог преодолеть недоверие браузеров и завершает свою работу к 2020 году
StartCom SSL объявила о том, что с 1 января 2018 года компания перестанет выдавать новые цифровые сертификаты, фактически закрывая компанию, хотя службы CRL и OCSP будут продолжаться еще два года, пока три корневых сертификата StartCom не истекут в 2020 году.
Это знаменует собой конец странной, возможно, даже предостерегающей истории о том, как однажды доверенный CA отправился в “нокаут” в течение примерно одного года, когда браузеры не доверяли ему.
Как был запущен StartCom SSL?
StartCom SSL начал свою работу достаточно скромно в Израиле, как небольшой региональный CA, специализирующийся на сертификате Start SSL. Вот тут и заканчивается трогательный интерес, так как Mozilla в 2016 году обнаружил, что CA был тайно приобретен китайским центром сертификации WoSign Limited через несколько компаний. Здесь начались ошибки. Не так много создателями StartCom (хотя похоже, что они могут быть также виноваты), а WoSign и его теперь уволенного генерального директора Ричарда Ванга.
WoSign был пойман за фальсифицированные SSL-сертификаты, с их помощью можно подписывать алгоритмы хеширования SHA-1 и браузеры этого не видят. Это категорически запрещено, в основном потому, что это небезопасно, но также потому, что браузеру действительно не нравится, когда его пытаются обмануть. SHA-1, сокращение от Secure Hash Algorithm 1, является криптографической хеш-функцией, которая была первоначально разработана NSA. К сожалению, это устарело пару лет назад. Промышленные стандарты теперь требуют, чтобы все SSL-сертификаты подписывались с использованием SHA-2 - его преемником. WoSign знал, что он не должен выдавать SSL-сертификаты, которые все еще используют SHA-1, он знал, что любой сертификат SHA-1, выпущенный после истечения срока действия, не будет в списке доверенных web-браузерам.
Таким образом, WoSign пошли на подлость, чтобы попытаться получить доверие браузеров. Об этом мы писали в предыдущей статье. К сожалению, Mozilla это поняла.
Итак, как устанавливается StartCom SSL?
Во время расследования ошибочных выпусков WoSign - Mozilla смогла вычислить, что WoSign приобрел StartCom через различные общедоступные бизнес-документы и исследовала систему обратной связи, которые использовали обе компании. Здесь все началось для StartCom.
Во-первых, WoSign и StartCom, не нарушали никаких законов. Несмотря на доказательства обратного, генеральный директор WoSign Ванг продолжал говорить, что никакого приобретения не произошло, и оба Центра Сертификации продолжали голосовать в Форуме CA/B - в качестве отдельных субъектов, несмотря на то, что они фактически были единой компанией. Затем стало ясно, что StartCom использует некоторые системы валидации WoSign. Именно из-за этого два ошибочно выданных сертификата были сделаны с использованием PKI StartCom. По всей видимости, StartCom возглавляли Wang и WoSign, что сделало его соучастником.
Недоверие браузеров - это верная смерть
StartCom и WoSign не доверяли все основные браузеры прошлой осенью. Это: Google Chrome, Mozilla Firefox, Apple Safari и Microsoft IE / Edge. Когда ЦС не доверенный, это означает, что корневые сертификаты, принадлежащие этому ЦС, удаляются из хранилищ доверия браузеров. Не вдаваясь в подробности, огромная часть PKI имеет общепризнанные корни. У каждого браузера есть список предварительно доверенных корневых сертификатов, уже загруженных на нем.
Когда браузер пытается подключиться к web-сайту с помощью SSL, он пытается связать этот сертификат SSL с одним из корней, которые он сохранил в своем хранилище доверия. Это означает, что каждый СА должен иметь свой собственный доверенный корень или должен иметь промежуточное звено, которое привязывается к кому-то другому. Когда StartCom был не доверенный, это означало, что все его корневые сертификаты были удалены из этих хранилищ доверия. В свою очередь, все сертификаты SSL для StartCom, которые должны были привязываться к одному из этих корней, также стали не доверенными. Это привело к тому, что StartCom уже мертв около года, так как он больше не может выдавать публично доверенные сертификаты.
Заявление компании:
«Несмотря на усилия, предпринятые в течение этого времени StartCom, до сих пор у браузеров не было четкого указания, что StartCom сможет восстановить доверие. Поэтому владельцы StartCom решили прекратить свою работу в качестве центра сертификации». Это решение не будет иметь большого влияния на рынок SSL. К этому моменту большинство клиентов StartCom SSL перешли в другой центр сертификации.
Согласно w3techs.com, StartCom имеет всего 0,1% рынка.