Дата статьи 27.11.2017

StartCom SSL не смог преодолеть недоверие браузеров и завершает свою работу к 2020 году

StartCom SSL объявила о том, что с 1 января 2018 года компания перестанет выдавать новые цифровые сертификаты, фактически закрывая компанию, хотя службы CRL и OCSP будут продолжаться еще два года, пока три корневых сертификата StartCom не истекут в 2020 году.


Это знаменует собой конец странной, возможно, даже предостерегающей истории о том, как однажды доверенный CA отправился в “нокаут” в течение примерно одного года, когда браузеры не доверяли ему.

Как был запущен StartCom SSL?

StartCom SSL начал свою работу достаточно скромно в Израиле, как небольшой региональный CA, специализирующийся на сертификате Start SSL. Вот тут и заканчивается трогательный интерес, так как Mozilla в 2016 году обнаружил, что CA был тайно приобретен китайским центром сертификации WoSign Limited через несколько компаний. Здесь начались ошибки. Не так много создателями StartCom (хотя похоже, что они могут быть также виноваты), а WoSign и его теперь уволенного генерального директора Ричарда Ванга.

WoSign был пойман за фальсифицированные SSL-сертификаты, с их помощью можно подписывать алгоритмы хеширования SHA-1 и браузеры этого не видят. Это категорически запрещено, в основном потому, что это небезопасно, но также потому, что браузеру действительно не нравится, когда его пытаются обмануть. SHA-1, сокращение от Secure Hash Algorithm 1, является криптографической хеш-функцией, которая была первоначально разработана NSA. К сожалению, это устарело пару лет назад. Промышленные стандарты теперь требуют, чтобы все SSL-сертификаты подписывались с использованием SHA-2 - его преемником. WoSign знал, что он не должен выдавать SSL-сертификаты, которые все еще используют SHA-1, он знал, что любой сертификат SHA-1, выпущенный после истечения срока действия, не будет в списке доверенных web-браузерам.

Таким образом, WoSign пошли на подлость, чтобы попытаться получить доверие браузеров. Об этом мы писали в предыдущей статье. К сожалению, Mozilla это поняла.

Итак, как устанавливается StartCom SSL?

Во время расследования ошибочных выпусков WoSign - Mozilla смогла вычислить, что WoSign приобрел StartCom через различные общедоступные бизнес-документы и исследовала систему обратной связи, которые использовали обе компании. Здесь все началось для StartCom.

Во-первых, WoSign и StartCom, не нарушали никаких законов. Несмотря на доказательства обратного, генеральный директор WoSign Ванг продолжал говорить, что никакого приобретения не произошло, и оба Центра Сертификации продолжали голосовать в Форуме CA/B - в качестве отдельных субъектов, несмотря на то, что они фактически были единой компанией. Затем стало ясно, что StartCom использует некоторые системы валидации WoSign. Именно из-за этого два ошибочно выданных сертификата были сделаны с использованием PKI StartCom. По всей видимости, StartCom возглавляли Wang и WoSign, что сделало его соучастником.

Недоверие браузеров - это верная смертьac29e4f3b0ca96436d431a0ae7746ce7

StartCom и WoSign не доверяли все основные браузеры прошлой осенью. Это: Google Chrome, Mozilla Firefox, Apple Safari и Microsoft IE / Edge. Когда ЦС не доверенный, это означает, что корневые сертификаты, принадлежащие этому ЦС, удаляются из хранилищ доверия браузеров. Не вдаваясь в подробности, огромная часть PKI имеет общепризнанные корни. У каждого браузера есть список предварительно доверенных корневых сертификатов, уже загруженных на нем.

Когда браузер пытается подключиться к web-сайту с помощью SSL, он пытается связать этот сертификат SSL с одним из корней, которые он сохранил в своем хранилище доверия. Это означает, что каждый СА должен иметь свой собственный доверенный корень или должен иметь промежуточное звено, которое привязывается к кому-то другому. Когда StartCom был не доверенный, это означало, что все его корневые сертификаты были удалены из этих хранилищ доверия. В свою очередь, все сертификаты SSL для StartCom, которые должны были привязываться к одному из этих корней, также стали не доверенными. Это привело к тому, что StartCom уже мертв около года, так как он больше не может выдавать публично доверенные сертификаты.

Заявление компании:

«Несмотря на усилия, предпринятые в течение этого времени StartCom, до сих пор у браузеров не было четкого указания, что StartCom сможет восстановить доверие. Поэтому владельцы StartCom решили прекратить свою работу в качестве центра сертификации». Это решение не будет иметь большого влияния на рынок SSL. К этому моменту большинство клиентов StartCom SSL перешли в другой центр сертификации.

Согласно w3techs.com, StartCom имеет всего 0,1% рынка.

Корзина 0 позиций
на сумму 0 ₽
Связаться со мной
Отправить
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Оформить заказ
Заказать
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Добавить отзыв
Оставить отзыв
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Отзыв отправлен!
Спасибо за обращение! Мы опубликуем его как только наши сотрудники проверят его
Сообщение отправлено!
Спасибо за обращение! Мы свяжемся с Вами в ближайшие рабочие часы
Отправка не удалась
Во время отправки запроса произошла ошибка. Пожалуйста, подождите и попробуйте снова через некоторое время или позвоните на мой номер телефона
Авторизация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Забыли пароль?
\
Регистрация
Восстановление пароля
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
\
Регистрация
Ошибка авторизации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная авторизация
Через 5 секунд страница будет перезагружена и вы сможете войти в свой аккаунт
Ошибка регистрации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная регистрация
Вам на почту должно прийти письмо с ссылкой на подтверждение аккаунта. Пожалуйста перейдите по ней и активируйте свой аккаунт
Ошибка регистрации
Такой пользователь уже существует. Пожалуйста, проверьте корректность данных.
Регистрация
Ошибка восстановления пароля
Пожалуйста, проверьте корректность email.
Успех
Ваш новый пароль был выслан вам на email
Регистрация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
Создать тикет
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Свяжитесь с нами
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Ваше сообщение получено. Наш менеджер свяжется с вами в ближайшие рабочие часы
Проверка DNS валидации
Скачать файл валидации
Для валидации домена разместите скачанный текстовый файл в указанную директорию на Вашем сервере:
Выберите подходящий вариант

К сожалению, выбранный сертификат от данного центра сертификации не может быть выдан. Так как ЦС приостановил выпуск новых/продление заказов для доменов в зоне .ru, .рф, .by, .su, .moscow и для сертификатов с OV, EV проверкой, где фигурирует компания из России.

Пожалуйста рассмотрите возможность выпуска сертификатов от AlphaSSL или Globalsign.