Aufhebung der Vertrauenswürdigkeit des Zertifikats WoSign CA Free SSL Certificate G2
Die Zertifizierungsinstanz WoSign stieß auf mehrere Kontrollfehler bei ihren Verfahren zur Zertifikatsausstellung für die Zwischen-Zertifizierungsinstanz WoSign CA Free SSL Certificate G2. Obwohl in der Liste der Root-Zertifikate, denen Apple vertraut, kein WoSign-Root-Zertifikat aufgeführt ist, verwendete diese Zwischen-Zertifizierungsstelle gegengezeichnete Zertifikatsbeziehungen mit StartCom und Comodo, um eine Vertrauenswürdigkeit mit Apple-Produkten aufzubauen.
Angesichts dieser Erkenntnisse wurden mit einem Sicherheitsupdate entsprechende Maßnahmen zum Schutz der Nutzer ergriffen. Die Zwischen-Zertifizierungsinstanz WoSign CA Free SSL Certificate G2 wird von Apple-Produkten nicht mehr als vertrauenswürdig erachtet.
Um zu vermeiden, dass es bei bestehenden WoSign-Zertifikatsinhabern zu Beeinträchtigungen kommt, und um ihnen den Umstieg auf vertrauenswürdige Root-Zertifikate zu ermöglichen, werden Apple-Produkte einzelnen bestehenden Zertifikaten, die von dieser Zwischen-Zertifizierungsinstanz ausgestellt wurden und bis zum 19. September 2016 auf öffentlichen Protokollservern für Zertifikatstransparenz veröffentlicht wurden, weiterhin vertrauen. Sie gelten so lange als vertrauenswürdig, bis sie abgelaufen, widerrufen oder nach eigenem Ermessen von Apple für nicht vertrauenswürdig erklärt wurden.
Im Verlauf der Untersuchung werden wir weitere Maßnahmen bezüglich der WoSign/StartCom-Vertrauensanker in Apple-Produkten ergreifen, um je nach Bedarf die Nutzer zu schützen.
Weitere Maßnahmen für WoSign
Nach weiteren Untersuchungen kamen wir zu dem Schluss, dass neben mehreren Kontrollfehlern beim Betrieb der WoSign-Zertifizierungsinstanz (CA) WoSign den Erwerb von StartCom nicht offengelegt hat.
In einem anstehenden Sicherheitsupdate werden weitere entsprechende Maßnahmen zum Schutz der Nutzer ergriffen. Apple-Produkte werden Zertifikate von WoSign- und StartCom-Root-Zertifizierungsinstanzen (CA) sperren, sofern die Datumsangabe für "Not Before" (Nicht vor) 1. Dezember 2016 00:00:00 GMT/UTC lautet oder danach liegt.
Informationen zur Vertrauenswürdigkeit und zu Zertifikaten
Jeder unten aufgeführte vertrauenswürdige Speicher von macOS enthält drei Zertifikatskategorien:
- Vertrauenswürdige Zertifikate zum Einrichten einer Vertrauenskette, die andere Zertifikate überprüft, die von den vertrauenswürdigen Roots signiert sind, z. B. um eine sichere Verbindung zu einem Webserver herzustellen. Wenn IT-Administratoren Konfigurationsprofile für macOS erstellen, müssen diese vertrauenswürdigen Root-Zertifikate nicht einbezogen werden.
- Zertifikate vom Typ "Immer fragen" sind nicht vertrauenswürdig, werden jedoch nicht gesperrt. Wenn eines dieser Zertifikate verwendet wird, wirst du gefragt, ob du ihm vertraust oder nicht.
- Gesperrte Zertifikate gelten als gefährlich und sind nie vertrauenswürdig.
Vertrauenswürdiger Speicher von macOS
- Liste verfügbarer vertrauenswürdiger Root-Zertifikate in iOS 12, macOS 10.14, watchOS 5 und tvOS 12
- Liste verfügbarer vertrauenswürdiger Root-Zertifikate in macOS High Sierra
- Liste verfügbarer vertrauenswürdiger Root-Zertifikate in macOS Sierra
- Liste verfügbarer vertrauenswürdiger Root-Zertifikate in OS X El Capitan
- Liste verfügbarer vertrauenswürdiger Root-Zertifikate in OS X Yosemite
- Liste verfügbarer vertrauenswürdiger Root-Zertifikate in OS X Mavericks