StartCom en WoSign-certificaten niet te vertrouwen

Slechts nieuws voor bedrijven en websites die gebruik maken van StartCom en WoSign-certificaten. Eerder maakte Mozilla al bekend het vertrouwen in de certificaatautoriteiten op te zeggen. Daarna volgde al snel Apple met hetzelfde bericht en nu zegt ook Google het vertrouwen op in de certificaten van de bedrijven.

Als de techgiganten geen vertrouwen meer hebben in je als certificaatautoriteit dan is het faillissement dichtbij, tegen dat toekomstperspectief kijken StartCom en WoSign nu aan. Apple en Mozilla hebben de certificaten van de autoriteiten al geschorst, waardoor websites die beveiligd zijn met certificaten van de bedrijven niet meer als veilig worden beschouwd. Dit levert dus geen mooie groene adresbalk op, maar een rode met een waarschuwing.

Google gaat vooralsnog iets voorzichter te werk, die wil de autoriteiten gefaseerd uitbannen. In Chrome 56 zullen de autoriteiten worden geschrapt en die versie verschijnt in januari. Tot die tijd wil Google bepaalde websites via een whitelist alsnog vertrouwen, zodat de eigenaren van de websites bij een andere leverancier een certificaat kunnen aanvragen en installeren. Websites die Google niet vertrouwd of durft te vertrouwen zijn wel per direct geschorsd.

De kans dat StartCom en WoSign alsnog vertrouwen krijgen lijkt heel klein. Google heeft een aantal fouten van de certificaatautoriteiten geopenbaard, waarop de beslissingen zijn gebaseerd. Zo is er een certificaat uitgegeven voor GitHub.com, zonder dat de site-eigenaar hierom heeft gevraagd of toestemming voor heeft gegeven. Verder zijn er talloze kleinere fouten gemaakt waardoor en getwijfeld wordt aan de werkwijze van de bedrijven. Ook zou WoSign inmiddels StartCom hebben overgenomen zonder dit duidelijk naar buiten te communiceren, iets wat ook tegen het beleid is van veel techgiganten.

De enige browserfabrikant die nu nog moet overgaan tot schrappen van de twee certificaatautoriteiten is Microsoft, maar dat lijkt een kwestie van tijd. StartCom is van oorsprong een Israëlische certificaatautoriteit terwijl WoSign afkomstig is uit China.