StartCom - StartCom - Wikipedia

StartCom Ltd.
Частная компания
ПромышленностьИнтернет-безопасность, Инфраструктура открытого ключа
Основан1999; 21 год назад (1999)
ОсновательЭдди Нигг[2]
Несуществующий1 января 2018 г. (2018-01-01)[1]
Штаб-квартира
Пекин
,
Китай
Обслуживаемая площадь
Мировой
Ключевые люди
Иньиго Баррейра (генеральный директор), Тан Сяошэн (председатель), Ян Цин
ВладелецQihoo 360 Group
РодительStartCom CA Ltd. (Великобритания), StartCom CA Ltd. (Гонконг)

StartCom был центр сертификации, основанный в Эйлат, Израиль, а позже на основе Пекин, Китайская Народная Республика, у которого было три основных направления деятельности: StartCom Linux Enterprise (Дистрибутив Linux ), StartSSL (центр сертификации ) и MediaHost (веб хостинг ). StartCom открыл филиалы в г. Китай, Гонконг, то объединенное Королевство и Испания.[3] Из-за многочисленных сбоев на стороне компании все сертификаты StartCom были удалены из Mozilla Fire Fox в октябре 2016[4] и Гугл Хром в марте 2017 года, включая ранее выданные сертификаты, после чего ожидается аналогичное удаление из других браузеров.[5]

StartCom был приобретен тайно[6] к WoSign Ограничено (Шэньчжэнь, Гуандун, Китайская Народная Республика ) через несколько компаний,[а] что было выявлено в ходе расследования Mozilla[6] связанных с удалением корневых сертификатов WoSign и StartCom в 2016 году. В связи с санкциями Mozilla и Apple,[7][8] компания объявила о реструктуризации в 2016 году материнской компанией WoSign Qihoo 360 Group, отделив StartCom от затронутого скандалом WoSign и сделав его дочерней компанией Qihoo.[b][9]

Несмотря на попытки дистанцироваться от разногласий, 16 ноября 2017 года StartCom объявил о прекращении бизнеса, а 1 января 2018 года прекратил обслуживание новых сертификатов, фактически закрывая компанию.[10][11] Сайты StartSSL, StartCom и StartCom CA теперь перенаправляют на страницу магазина WoSign.

StartSSL

StartCom предложил бесплатный Class 1 X.509 SSL-сертификат «StartSSL Free», который работает для веб-серверов (SSL / TLS ) а также для Шифрование электронной почты (S / MIME Он также предлагал сертификаты класса 2 и 3, а также Сертификаты расширенной проверки, где обязательна комплексная проверка (с затратами).

Несмотря на то, что сертификаты были бесплатными и неограниченными для определенных целей, налагались ограничения, если не было приобретено обновление:

  • Срок действия сертификата - три года
  • За отзыв сертификата взимается плата

В июне 2011 года в компании произошел сбой в сети, в результате которого StartCom на несколько недель приостановила выдачу цифровых сертификатов и сопутствующие услуги.[12] Злоумышленник не смог использовать это для выдачи сертификатов (и StartCom был единственным взломанным провайдером из шести, у которого злоумышленник был заблокирован).[13]

Надежность

Сертификат StartSSL был включен по умолчанию в Mozilla Firefox 2.x и выше, в Apple Mac OS X начиная с версия 10.5 (Леопард), все Microsoft операционных систем с 24 сентября 2009 г.,[14][15] и Опера с 27 июля 2010 г.[16] С Гугл Хром, Apple Safari и Internet Explorer использовать хранилище сертификатов операционной системы, все основные браузеры ранее включали поддержку сертификатов StartSSL.

30 сентября 2016 года в ходе расследования WoSign Apple объявила, что их программное обеспечение не будет принимать сертификаты, выданные одним из сертификатов WoSign после 19 сентября 2016 года, и заявила, что будут предпринимать дальнейшие действия в отношении якорей доверия WoSign / StartCom по мере продвижения расследования.[8]

24 октября 2016 года Mozilla объявила в своем блоге по безопасности, что после обнаружения покупки StartCom другим центром сертификации под названием WoSign в ходе расследования многочисленных проблем с этим центром сертификации, и что оба не смогли раскрыть эту транзакцию,[17] Mozilla перестанет доверять сертификатам, выпущенным после 21 октября 2016 г., начиная с Firefox 51.[18] 1 ноября 2016 года Google объявил, что он также перестанет доверять сертификатам, выпущенным после 21 октября 2016 года, начиная с Chrome 56. Сертификаты, выпущенные до этой даты, могут оставаться доверенными некоторое время, но в последующих выпусках Chrome эти исключения будут сокращены. и в конечном итоге удален.[19] 30 ноября 2016 года продукты Apple будут блокировать сертификаты корневых центров сертификации WoSign и StartCom, если дата «Не раньше» наступит 1 декабря 2016 года в 00:00:00 по Гринвичу или позже.[20]

Начиная с версии 57, Google Chrome будет доверять только сертификатам WoSign / StartCom, которые были выданы сайтам из списка Alexa Top 1M, а Chrome 58 будет доверять только тем, которые находятся в списке Alexa Top 500k.[21]

8 августа 2017 года Microsoft объявила в своем блоге о безопасности Windows, что Windows 10 не будет доверять никаким новым сертификатам от WoSign и StartCom после сентября 2017 года.[22]

Несмотря на изменения в структуре компании, StartCom не видит «каких-либо явных указаний браузеров на то, что StartCom сможет вернуть доверие» браузерных компаний. Поэтому StartCom приостановил выдачу всех сертификатов с 1 января 2018 года и полностью прекратит бизнес к 2020 году, отозвав все выпущенные сертификаты.[23]

Ответ на Heartbleed

13 апреля 2014 г. StartCom объявил[24] страница часто задаваемых вопросов[25] относится к Heartbleed, критическая ошибка в OpenSSL, по оценкам, оставила 17% защищенных веб-серверов Интернета уязвимыми для кражи данных.

Политика StartCom заключалась в том, чтобы взимать 25 долларов за каждый отозванный сертификат, и он отказывался снимать эту плату в случае скомпрометированных сертификатов из-за Heartbleed, хотя некоторым платным клиентам был предоставлен один бесплатный отзыв.[26][27][28] Это заставило многих усомниться в статусе StartCom как центра сертификации.[29] Получив доказательство взлома сертификата, StartCom отказался отозвать сертификат бесплатно, оказав доверие даже после того, как StartCom узнал, что сертификат был скомпрометирован.[30]

Споры

В августе 2016 года стало известно, что StartCom был продан китайскому центру сертификации WoSign.[17][31][32] Первоначальное раскрытие информации было отменено по юридическим причинам.[33] Тем не менее, репосты исходных статей по-прежнему доступны.[31] Связь неясна, но похоже, что техническая инфраструктура StartCom использовалась WoSign, когда они были пойманы на выпуске около сотни[34] неправильно проверенные сертификаты SSL, в том числе сертификат для github.com.[17][35]

Расследование, проведенное Google и Mozilla, показало, что WoSign сознательно и намеренно неправильно выдавал сертификаты, чтобы обойти ограничения браузера и требования CA. В результате Google присоединился к Mozilla и Apple и планировал не доверять всем сертификатам WoSign и StartCom, начиная с 2017 года.[36] 17 июля 2017 года было объявлено о реструктуризации компании. Было объявлено, что StartCom теперь на 100% управляется Qihoo 360, сотрудники StartCom не работают в помещениях WoSign, аудит был проведен внешними пентестерами, и была разработана новая система CMS.[37]

Смотрите также

Сноски

  1. ^ Структура по состоянию на октябрь 2016 г .: WoSign CA Limited Hong-Kong → StartCom CA Limited (HK) → StartCom CA Limited (UK)
  2. ^ Планируемая реструктуризация с октября 2016 года, которая будет реализована до конца 2016 года: через сеть компаний Qihoo 360 → Qifei Int'l Development Ltd. (HK) → StartCom CA Ltd. (HK), которой принадлежит 100% StartCom (CH). ) и StartCom CA Ltd. (Великобритания), которая, в свою очередь, владеет StartCom Ltd. (Израиль) и StartCom CA Ltd. (Испания).

Рекомендации

  1. ^ Ноэ, Патрик (20 ноября 2017 г.). «StartCom SSL прекращает работу с 1 января 2018 г.». Получено 6 июн 2018.
  2. ^ Чиргвин, Ричард (10 октября 2016 г.). «Голова кружится, поскольку Qihoo 360 приближается к концу строки сертификатов WoSign, StartCom». Реестр. Получено 2016-12-10.
  3. ^ «О StartCom». Реестр. 26 апреля, 2016. Архивировано с оригинал 25 июня 2016 г.. Получено 7 июня, 2016.
  4. ^ https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
  5. ^ Адам С. Энгст. "Почему Take Control было кратко помечено" не защищено"". Взять под контроль.
  6. ^ а б Mozilla (10 октября 2016 г.). «WoSign и StartCom». Получено 2016-10-25.
  7. ^ яблоко (30.09.2016). «Блокировка доверия для бесплатного SSL-сертификата WoSign CA G2 (IOS)».
  8. ^ а б яблоко (30.09.2016). «Блокировка доверия для бесплатного SSL-сертификата WoSign CA G2 (MacOS)».
  9. ^ Qihoo 360 Group (14.10.2016). «План исправления StartCom» (PDF). Архивировано из оригинал (PDF) на 2016-10-26. Получено 2016-10-25.
  10. ^ «Сертификаты StartSSL ™ и инфраструктура открытых ключей». www.startcomca.com. Получено 2017-11-17.
  11. ^ 谭晓生 (17 ноября 2017 г.). «Прекращение действия сертификатов Startcom». mozilla.dev.security.policy (Список рассылки).
  12. ^ "Центр веб-аутентификации нарушает безопасность". Реестр. 26 июня 2011 г.. Получено 14 января, 2012.
  13. ^ «Как StartCom помешал Comodohacker: 4 урока». Информационная неделя. 8 сентября 2011 г. Архивировано с оригинал 3 января 2013 г.. Получено 20 декабря, 2012.
  14. ^ «Microsoft добавляет поддержку сертификатов StartCom». StartCom.org. 24 сентября 2009 г. Архивировано с оригинал (Пресс-релиз) 17 июля 2011 г.. Получено 2011-01-14.
  15. ^ «Microsoft обновляет доверенные корневые сертификаты, чтобы включить StartCom». Блог Sophos.com Naked Security. 27 сентября 2009 г.
  16. ^ «Новые корни, новый EV и новый файл общедоступных суффиксов». Блог Opera.com Rootstore.
  17. ^ а б c "CA: Проблемы с WoSign - MozillaWiki". Получено 2016-10-25.
  18. ^ «Недоверие к новым сертификатам WoSign и StartCom». 24 октября 2016 г.. Получено 2016-10-25.
  19. ^ «Недоверие к сертификатам WoSign и StartCom». Блог Google Online Security. Получено 2016-11-02.
  20. ^ «Списки доступных доверенных корневых сертификатов в iOS». Веб-сайт поддержки Apple. Получено 2016-12-01.
  21. ^ «685826 - Ограничить набор доменов для сертификатов WoSign / StartCom - хром - Монорельс». bugs.chromium.org. Получено 2017-04-28.
  22. ^ «Microsoft удаляет сертификаты WoSign и StartCom в Windows 10». Безопасность Windows. Получено 2017-08-11.
  23. ^ «Прекращение бизнеса StartCom». www.startcomca.com. Получено 2017-12-03.
  24. ^ «Twitter / startssl: Мы выпустили небольшую страницу с часто задаваемыми вопросами ...» StartCom. 13 апреля 2014 г.
  25. ^ "Heartbleed F.A.Q." StartCom. 13 апреля 2014 г.
  26. ^ «Я использую StartCom, и вчера я отозвал и изменил ключ. Причина отзыва… Hacker News». Джефф. 9 апреля 2014 г.
  27. ^ "Twitter / codeawe: @tonylampada @startssl ..." J. Breitsprecher. 11 апреля 2014 г.
  28. ^ "Re: OpenSSL CVE-2014-0160 (также известный как Heartbleed)". 9 апреля 2014 г. Архивировано с оригинал 13 апреля 2014 г.
  29. ^ «Большинство сертификатов StartSSL останутся скомпрометированными». 9 апреля 2014 г.
  30. ^ "StartSSL, пожалуйста, отзовите меня!". 12 апреля 2014 года. Архивировано 12 апреля 2014 года.CS1 maint: неподходящий URL (связь)
  31. ^ а б «Мысли и наблюдения: секретная покупка WoSign StartCom; WoSign пригрозил судебным иском по поводу раскрытия информации». www.percya.com. Архивировано из оригинал на 2016-09-05. Получено 2016-09-08.
  32. ^ «Мысли и наблюдения: StartCom управляется исключительно WoSign в Китае - анализ нового веб-сайта StartCom». www.percya.com. Архивировано из оригинал на 2016-09-07. Получено 2016-09-08.
  33. ^ https://letsphish.org
  34. ^ https://groups.google.com/d/topic/mozilla.dev.security.policy/k9PBmyLCi8I/discussion
  35. ^ «История о том, как WoSign предоставил мне сертификат SSL для GitHub.com».
  36. ^ Тюлени, Тара (2 ноября 2016 г.). "Google не доверяет сертификатам WoSign / StartCom". Журнал InfoSecurity. Получено 7 июля, 2017.
  37. ^ «1311832 - StartCom: Действия». bugzilla.mozilla.org. Получено 2017-08-01.

внешняя ссылка