СтартКом
Эта статья нуждается в дополнительных цитатах для проверки . ( апрель 2010 г. ) |
Тип компании | Частная компания |
---|---|
Промышленность | Интернет-безопасность , Инфраструктура открытых ключей |
Основан | 1999 год |
Основатель | Эдди Нигг [1] |
Несуществующий | 1 января 2018 г. |
Штаб-квартира | , |
Обслуживаемая территория | По всему миру |
Ключевые люди | Иньиго Баррейра (генеральный директор), Тан Сяошэн (председатель), Ян Цин |
Владелец | Группа Циху 360 |
Родитель | StartCom CA Ltd. (Великобритания), StartCom CA Ltd. (Гонконг) |
StartCom — центр сертификации, основанный в Эйлате , Израиль , а затем базирующийся в Пекине , Китай , который имел три основных вида деятельности: StartCom Enterprise Linux ( дистрибутив Linux ), StartSSL ( центр сертификации ) и MediaHost ( веб-хостинг ). StartCom открыл филиалы в Китае , Гонконге , Великобритании и Испании . [2] Из-за многочисленных ошибок со стороны компании все сертификаты StartCom были удалены из Mozilla Firefox в октябре 2016 года. [3] и Google Chrome в марте 2017 года, включая ранее выданные сертификаты; ожидается, что за этим последуют аналогичные удаления из других браузеров. [4]
StartCom был приобретен тайно [5] компанией WoSign Limited ( Шэньчжэнь , Гуандун , Китай ) через несколько компаний, [а] что было выявлено в ходе расследования Mozilla [5] связано с удалением корневых сертификатов WoSign и StartCom в 2016 году. Из-за санкций как Mozilla, так и Apple, [6] [7] компания объявила, что в 2016 году ее реструктурирует материнская компания WoSign Qihoo 360 Group , отделив StartCom от затронутой скандалом WoSign и сделав ее дочерней компанией Qihoo. [б] [8]
Несмотря на попытки дистанцироваться от разногласий, 16 ноября 2017 года StartCom объявил о прекращении деятельности, а 1 января 2018 года прекратил выдачу новых сертификатов, фактически закрыв компанию. [9] [10] Веб-сайты StartSSL, StartCom и StartCom CA теперь перенаправляются на страницу магазина WoSign.
СтартSSL
[ редактировать ]StartCom предложил бесплатный SSL-сертификат X.509 класса 1 «StartSSL Free», который работает для веб-серверов ( SSL/TLS ), а также для шифрования электронной почты ( S/MIME ).Он также предлагал сертификаты классов 2 и 3, а также сертификаты расширенной проверки , где комплексная проверка (с затратами) была обязательной.
Хотя сертификаты были бесплатными и неограниченными для определенных видов использования, существовали ограничения, если не было приобретено обновление:
- Срок действия сертификата три года
- Отзыв сертификата требует платы
В июне 2011 года компания пострадала от взлома сети, в результате чего StartCom приостановила выдачу цифровых сертификатов и сопутствующих услуг на несколько недель. [11] Злоумышленник не смог использовать это для выдачи сертификатов (и StartCom был единственным взломанным провайдером из шести, где злоумышленнику было запрещено это делать). [12]
Надежность
[ редактировать ]Сертификат StartSSL по умолчанию включен в Mozilla Firefox 2.x и выше, в Apple Mac OS X начиная с версии 10.5 (Leopard) , во все операционные системы Microsoft с 24 сентября 2009 г. [13] [14] и Opera с 27 июля 2010 г. [15] Поскольку Google Chrome , Apple Safari и Internet Explorer используют хранилище сертификатов операционной системы, во все основные браузеры ранее была включена поддержка сертификатов StartSSL.
30 сентября 2016 года в ходе расследования WoSign Apple объявила, что их программное обеспечение не будет принимать сертификаты, выданные одним из сертификатов WoSign после 19 сентября 2016 года, и заявила, что предпримет дальнейшие действия в отношении якорей доверия WoSign/StartCom по мере продвижения расследования. [7]
24 октября 2016 года Mozilla объявила в своем блоге по безопасности, что после того, как она обнаружила покупку StartCom другим центром сертификации под названием WoSign в ходе расследования многочисленных проблем с этим центром сертификации, и что оба не раскрыли эту транзакцию, [16] Mozilla перестанет доверять сертификатам, выпущенным после 21 октября 2016 года, начиная с Firefox 51. [17] 1 ноября 2016 года компания Google объявила, что она также перестанет доверять сертификатам, выданным после 21 октября 2016 года, начиная с Chrome 56. Сертификаты, выданные до этой даты, могут оставаться доверенными какое-то время, но в последующих выпусках Chrome эти исключения будут сокращены. и в итоге удалили. [18] 30 ноября 2016 года продукты Apple будут блокировать сертификаты корневых центров сертификации WoSign и StartCom, если дата «Не раньше» приходится на 1 декабря 2016 года в 00:00:00 по Гринвичу/UTC или позднее. [19]
Начиная с версии 57, Google Chrome будет доверять только сертификатам WoSign/StartCom, выданным сайтам из списка Alexa Top 1M, а Chrome 58 будет доверять только сертификатам из Alexa Top 500k. [20]
8 августа 2017 года Microsoft объявила в своем блоге по безопасности Windows, что Windows 10 не будет доверять никаким новым сертификатам WoSign и StartCom после сентября 2017 года. [21]
Несмотря на изменения в структуре компании, StartCom не увидела «каких-либо четких указаний со стороны браузеров на то, что StartCom сможет вернуть доверие» со стороны браузерных компаний. Поэтому StartCom прекратил выдачу всех сертификатов с 1 января 2018 года и полностью прекратит деятельность к 2020 году, отозвав все выданные сертификаты. [22]
Ответ на Heartbleed
[ редактировать ]13 апреля 2014 года StartCom объявил. [23] страница часто задаваемых вопросов [24] связанный с Heartbleed , критической ошибкой в OpenSSL, которая, по оценкам, сделала 17% защищенных веб-серверов Интернета уязвимыми для кражи данных.
Политика StartCom заключалась в том, чтобы взимать 25 долларов за каждый отозванный сертификат, и компания отказывалась отказываться от этой платы в случае, если сертификаты были скомпрометированы из-за Heartbleed, хотя некоторым платящим клиентам был предоставлен однократный бесплатный отзыв. [25] [26] [27] Это заставило многих усомниться в статусе StartCom как центра сертификации. [28] Когда StartCom предоставили доказательства взлома сертификата, он отказался бесплатно отозвать сертификат, обеспечив доверие даже после того, как StartCom узнал, что сертификат был скомпрометирован. [29]
Споры
[ редактировать ]В августе 2016 года сообщалось, что StartCom был продан китайскому центру сертификации WoSign. [16] [30] [31] Первоначальное раскрытие было удалено по юридическим причинам. [32] Однако репосты оригинальных статей по-прежнему доступны. [30] Связь неясна, но похоже, что техническая инфраструктура StartCom использовалась WoSign, когда их поймали на выдаче около сотни [33] неправильно проверенные сертификаты SSL, включая сертификат для github.com. [16] [34]
Расследование, проведенное Google и Mozilla, показало, что WoSign сознательно и намеренно выдавал ошибочные сертификаты, чтобы обойти ограничения браузера и требования CA. В результате Google присоединилась к Mozilla и Apple и планировала отказаться от доверия ко всем сертификатам WoSign и StartCom, начиная с 2017 года. [35] 17 июля 2017 года было объявлено о реструктуризации компании. Было объявлено, что StartCom теперь на 100% управляется Qihoo 360, ни один сотрудник StartCom не работает в помещениях WoSign, аудиты проводятся внешними пен-тестерами, а также разработана новая система CMS. [36]
См. также
[ редактировать ]Сноски
[ редактировать ]- ^ Структура по состоянию на октябрь 2016 г.: WoSign CA Limited, Гонконг → StartCom CA Limited (HK) → StartCom CA Limited (Великобритания).
- ^ Планируемая реструктуризация по состоянию на октябрь 2016 г., которая будет реализована в течение конца 2016 г.: через сеть компаний Qihoo 360 → Qifei Int'l Development Ltd. (HK) → StartCom CA Ltd. (HK), которой принадлежит 100% StartCom ( CH) и StartCom CA Ltd. (Великобритания), которая, в свою очередь, владеет StartCom Ltd. (Израиль) и StartCom CA Ltd. (Испания)
Ссылки
[ редактировать ]- ^ Чиргвин, Ричард (10 октября 2016 г.). «Голы катятся, когда Qihoo 360 приближается к завершению строки сертификатов WoSign, StartCom» . Регистр . Проверено 10 декабря 2016 г.
- ^ «О СтарКоме» . Регистр . 26 апреля 2016 г. Архивировано из оригинала 25 июня 2016 г. . Проверено 7 июня 2016 г.
- ^ «Недоверие к новым сертификатам WoSign и StartCom» .
- ^ Адам К. Энгст. «Почему программа Take Control была кратко отмечена как «небезопасная» » . Возьмите под свой контроль.
- ^ Перейти обратно: а б Мозилла (10 октября 2016 г.). «ВоСайн и СтартКом» . Проверено 25 октября 2016 г.
- ^ яблоко (30 сентября 2016 г.). «Блокировка доверия для бесплатного SSL-сертификата WoSign CA G2 (IOS)» .
- ^ Перейти обратно: а б яблоко (30 сентября 2016 г.). «Блокировка доверия для бесплатного SSL-сертификата WoSign CA G2 (MacOS)» .
- ^ Группа Qihoo 360 (14 октября 2016 г.). «План исправления StartCom» (PDF) . Архивировано из оригинала (PDF) 26 октября 2016 г. Проверено 25 октября 2016 г.
{{cite web}}
: CS1 maint: числовые имена: список авторов ( ссылка ) - ^ «Сертификаты StartSSL™ и инфраструктура открытых ключей» . www.startcomca.com . Архивировано из оригинала 1 декабря 2017 г. Проверено 17 ноября 2017 г.
- ^ 谭晓生 (17 ноября 2017 г.). «Прекращение сертификатного бизнеса Старткома» . mozilla.dev.security.policy (список рассылки).
- ^ «Агент веб-аутентификации страдает от нарушения безопасности» . Регистр . 26 июня 2011 года . Проверено 14 января 2012 г.
- ^ «Как StartCom сорвал Comodohacker: 4 урока» . Информационная неделя . 8 сентября 2011. Архивировано из оригинала 3 января 2013 года . Проверено 20 декабря 2012 г.
- ^ «Microsoft добавляет поддержку сертификатов StartCom» . StartCom.org. 24 сентября 2009. Архивировано из оригинала (Пресс-релиз) 17 июля 2011 года . Проверено 14 января 2011 г.
- ^ «Microsoft обновляет доверенные корневые сертификаты, включая StartCom» . Блог Naked Security на Sophos.com. 27 сентября 2009 г.
- ^ «Новые корни, новый EV и новый файл публичного суффикса» . Блог корневого магазина Opera.com.
- ^ Перейти обратно: а б с «Проблемы CA:WoSign — MozillaWiki» . Проверено 25 октября 2016 г.
- ^ «Недоверие к новым сертификатам WoSign и StartCom» . 24 октября 2016 года . Проверено 25 октября 2016 г.
- ^ «Недоверие к сертификатам WoSign и StartCom» . Блог Google по онлайн-безопасности . Проверено 2 ноября 2016 г.
- ^ «Списки доступных доверенных корневых сертификатов в iOS» . Веб-сайт поддержки Apple . Проверено 1 декабря 2016 г.
- ^ "685826 - Ограничить набор доменов для сертификатов WoSign/StartCom - хром - Монорельс" . bugs.chromium.org . Проверено 28 апреля 2017 г.
- ^ «Microsoft удалит сертификаты WoSign и StartCom в Windows 10» . Безопасность Windows . Проверено 11 августа 2017 г.
- ^ «Прекращение деятельности StartCom» . www.startcomca.com . Архивировано из оригинала 1 декабря 2017 г. Проверено 3 декабря 2017 г.
- ^ «Twitter/startssl: Мы выпустили небольшую страницу часто задаваемых вопросов…» StartCom. 13 апреля 2014 г.
- ^ «Часто задаваемые вопросы по Heartbleed» StartCom. 13 апреля 2014 г.
- ^ «Я использую StartCom, и вчера я отозвал и повторно ввел ключ. Причина отзыва ... Hacker News» . Джефф. 9 апреля 2014 г.
- ^ «Twitter/codeawe: @tonylampada @startssl…» Дж. Брайтпрах. 11 апреля 2014 г.
- ^ «Re: OpenSSL CVE-2014-0160 (также известный как «Heartbleed»)» . 9 января 2014 г. Архивировано из оригинала 13 апреля 2014 г.
- ^ «Большинство сертификатов StartSSL останутся скомпрометированными» . 9 апреля 2014 г.
- ^ «StartSSL, пожалуйста, отзовите меня!» . 12 апреля 2014 г. Архивировано из оригинала 12 апреля 2014 г.
{{cite web}}
: CS1 maint: неподходящий URL ( ссылка ) - ^ Перейти обратно: а б «Мысли и наблюдения: тайная покупка WoSign компании StartCom; WoSign пригрозила судебными исками в связи с раскрытием информации» . www.percya.com . Архивировано из оригинала 5 сентября 2016 г. Проверено 8 сентября 2016 г.
- ^ «Мысли и наблюдения: StartCom, управляемый исключительно WoSign в Китае, — анализ нового веб-сайта StartCom» . www.percya.com . Архивировано из оригинала 7 сентября 2016 г. Проверено 8 сентября 2016 г.
- ^ https://letsphish.org
- ^ «Инциденты с участием CA WoSign» .
- ^ «История о том, как WoSign подарил мне SSL-сертификат для GitHub.com» .
- ^ Силс, Тара (2 ноября 2016 г.). «Google не доверяет сертификатам WoSign/StartCom» . Журнал ИнфоБезопасность . Проверено 7 июля 2017 г.
- ^ «1311832 — StartCom: Действия» . bugzilla.mozilla.org . Проверено 1 августа 2017 г.