Jump to content

СтартКом

ООО «СтартКом».
Тип компании Частная компания
Промышленность Интернет-безопасность , Инфраструктура открытых ключей
Основан 1999 год ; 25 лет назад ( 1999 )
Основатель Эдди Нигг [1]
Несуществующий 1 января 2018 г. ( 01.01.2018 )
Штаб-квартира ,
Обслуживаемая территория
По всему миру
Ключевые люди
Иньиго Баррейра (генеральный директор), Тан Сяошэн (председатель), Ян Цин
Владелец Группа Циху 360
Родитель StartCom CA Ltd. (Великобритания), StartCom CA Ltd. (Гонконг)

StartCom — центр сертификации, основанный в Эйлате , Израиль , а затем базирующийся в Пекине , Китай , который имел три основных вида деятельности: StartCom Enterprise Linux ( дистрибутив Linux ), StartSSL ( центр сертификации ) и MediaHost ( веб-хостинг ). StartCom открыл филиалы в Китае , Гонконге , Великобритании и Испании . [2] Из-за многочисленных ошибок со стороны компании все сертификаты StartCom были удалены из Mozilla Firefox в октябре 2016 года. [3] и Google Chrome в марте 2017 года, включая ранее выданные сертификаты; ожидается, что за этим последуют аналогичные удаления из других браузеров. [4]

StartCom был приобретен тайно [5] компанией WoSign Limited ( Шэньчжэнь , Гуандун , Китай ) через несколько компаний, [а] что было выявлено в ходе расследования Mozilla [5] связано с удалением корневых сертификатов WoSign и StartCom в 2016 году. Из-за санкций как Mozilla, так и Apple, [6] [7] компания объявила, что в 2016 году ее реструктурирует материнская компания WoSign Qihoo 360 Group , отделив StartCom от затронутой скандалом WoSign и сделав ее дочерней компанией Qihoo. [б] [8]

Несмотря на попытки дистанцироваться от разногласий, 16 ноября 2017 года StartCom объявил о прекращении деятельности, а 1 января 2018 года прекратил выдачу новых сертификатов, фактически закрыв компанию. [9] [10] Веб-сайты StartSSL, StartCom и StartCom CA теперь перенаправляются на страницу магазина WoSign.

StartCom предложил бесплатный SSL-сертификат X.509 класса 1 «StartSSL Free», который работает для веб-серверов ( SSL/TLS ), а также для шифрования электронной почты ( S/MIME ).Он также предлагал сертификаты классов 2 и 3, а также сертификаты расширенной проверки , где комплексная проверка (с затратами) была обязательной.

Хотя сертификаты были бесплатными и неограниченными для определенных видов использования, существовали ограничения, если не было приобретено обновление:

  • Срок действия сертификата три года
  • Отзыв сертификата требует платы

В июне 2011 года компания пострадала от взлома сети, в результате чего StartCom приостановила выдачу цифровых сертификатов и сопутствующих услуг на несколько недель. [11] Злоумышленник не смог использовать это для выдачи сертификатов (и StartCom был единственным взломанным провайдером из шести, где злоумышленнику было запрещено это делать). [12]

Надежность

[ редактировать ]

Сертификат StartSSL по умолчанию включен в Mozilla Firefox 2.x и выше, в Apple Mac OS X начиная с версии 10.5 (Leopard) , во все операционные системы Microsoft с 24 сентября 2009 г. [13] [14] и Opera с 27 июля 2010 г. [15] Поскольку Google Chrome , Apple Safari и Internet Explorer используют хранилище сертификатов операционной системы, во все основные браузеры ранее была включена поддержка сертификатов StartSSL.

30 сентября 2016 года в ходе расследования WoSign Apple объявила, что их программное обеспечение не будет принимать сертификаты, выданные одним из сертификатов WoSign после 19 сентября 2016 года, и заявила, что предпримет дальнейшие действия в отношении якорей доверия WoSign/StartCom по мере продвижения расследования. [7]

24 октября 2016 года Mozilla объявила в своем блоге по безопасности, что после того, как она обнаружила покупку StartCom другим центром сертификации под названием WoSign в ходе расследования многочисленных проблем с этим центром сертификации, и что оба не раскрыли эту транзакцию, [16] Mozilla перестанет доверять сертификатам, выпущенным после 21 октября 2016 года, начиная с Firefox 51. [17] 1 ноября 2016 года компания Google объявила, что она также перестанет доверять сертификатам, выданным после 21 октября 2016 года, начиная с Chrome 56. Сертификаты, выданные до этой даты, могут оставаться доверенными какое-то время, но в последующих выпусках Chrome эти исключения будут сокращены. и в итоге удалили. [18] 30 ноября 2016 года продукты Apple будут блокировать сертификаты корневых центров сертификации WoSign и StartCom, если дата «Не раньше» приходится на 1 декабря 2016 года в 00:00:00 по Гринвичу/UTC или позднее. [19]

Начиная с версии 57, Google Chrome будет доверять только сертификатам WoSign/StartCom, выданным сайтам из списка Alexa Top 1M, а Chrome 58 будет доверять только сертификатам из Alexa Top 500k. [20]

8 августа 2017 года Microsoft объявила в своем блоге по безопасности Windows, что Windows 10 не будет доверять никаким новым сертификатам WoSign и StartCom после сентября 2017 года. [21]

Несмотря на изменения в структуре компании, StartCom не увидела «каких-либо четких указаний со стороны браузеров на то, что StartCom сможет вернуть доверие» со стороны браузерных компаний. Поэтому StartCom прекратил выдачу всех сертификатов с 1 января 2018 года и полностью прекратит деятельность к 2020 году, отозвав все выданные сертификаты. [22]

Ответ на Heartbleed

[ редактировать ]

13 апреля 2014 года StartCom объявил. [23] страница часто задаваемых вопросов [24] связанный с Heartbleed , критической ошибкой в ​​OpenSSL, которая, по оценкам, сделала 17% защищенных веб-серверов Интернета уязвимыми для кражи данных.

Политика StartCom заключалась в том, чтобы взимать 25 долларов за каждый отозванный сертификат, и компания отказывалась отказываться от этой платы в случае, если сертификаты были скомпрометированы из-за Heartbleed, хотя некоторым платящим клиентам был предоставлен однократный бесплатный отзыв. [25] [26] [27] Это заставило многих усомниться в статусе StartCom как центра сертификации. [28] Когда StartCom предоставили доказательства взлома сертификата, он отказался бесплатно отозвать сертификат, обеспечив доверие даже после того, как StartCom узнал, что сертификат был скомпрометирован. [29]

В августе 2016 года сообщалось, что StartCom был продан китайскому центру сертификации WoSign. [16] [30] [31] Первоначальное раскрытие было удалено по юридическим причинам. [32] Однако репосты оригинальных статей по-прежнему доступны. [30] Связь неясна, но похоже, что техническая инфраструктура StartCom использовалась WoSign, когда их поймали на выдаче около сотни [33] неправильно проверенные сертификаты SSL, включая сертификат для github.com. [16] [34]

Расследование, проведенное Google и Mozilla, показало, что WoSign сознательно и намеренно выдавал ошибочные сертификаты, чтобы обойти ограничения браузера и требования CA. В результате Google присоединилась к Mozilla и Apple и планировала отказаться от доверия ко всем сертификатам WoSign и StartCom, начиная с 2017 года. [35] 17 июля 2017 года было объявлено о реструктуризации компании. Было объявлено, что StartCom теперь на 100% управляется Qihoo 360, ни один сотрудник StartCom не работает в помещениях WoSign, аудиты проводятся внешними пен-тестерами, а также разработана новая система CMS. [36]

См. также

[ редактировать ]
  1. ^ Структура по состоянию на октябрь 2016 г.: WoSign CA Limited, Гонконг → StartCom CA Limited (HK) → StartCom CA Limited (Великобритания).
  2. ^ Планируемая реструктуризация по состоянию на октябрь 2016 г., которая будет реализована в течение конца 2016 г.: через сеть компаний Qihoo 360 → Qifei Int'l Development Ltd. (HK) → StartCom CA Ltd. (HK), которой принадлежит 100% StartCom ( CH) и StartCom CA Ltd. (Великобритания), которая, в свою очередь, владеет StartCom Ltd. (Израиль) и StartCom CA Ltd. (Испания)
  1. ^ Чиргвин, Ричард (10 октября 2016 г.). «Голы катятся, когда Qihoo 360 приближается к завершению строки сертификатов WoSign, StartCom» . Регистр . Проверено 10 декабря 2016 г.
  2. ^ «О СтарКоме» . Регистр . 26 апреля 2016 г. Архивировано из оригинала 25 июня 2016 г. . Проверено 7 июня 2016 г.
  3. ^ «Недоверие к новым сертификатам WoSign и StartCom» .
  4. ^ Адам К. Энгст. «Почему программа Take Control была кратко отмечена как «небезопасная» » . Возьмите под свой контроль.
  5. ^ Перейти обратно: а б Мозилла (10 октября 2016 г.). «ВоСайн и СтартКом» . Проверено 25 октября 2016 г.
  6. ^ яблоко (30 сентября 2016 г.). «Блокировка доверия для бесплатного SSL-сертификата WoSign CA G2 (IOS)» .
  7. ^ Перейти обратно: а б яблоко (30 сентября 2016 г.). «Блокировка доверия для бесплатного SSL-сертификата WoSign CA G2 (MacOS)» .
  8. ^ Группа Qihoo 360 (14 октября 2016 г.). «План исправления StartCom» (PDF) . Архивировано из оригинала (PDF) 26 октября 2016 г. Проверено 25 октября 2016 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  9. ^ «Сертификаты StartSSL™ и инфраструктура открытых ключей» . www.startcomca.com . Архивировано из оригинала 1 декабря 2017 г. Проверено 17 ноября 2017 г.
  10. ^ 谭晓生 (17 ноября 2017 г.). «Прекращение сертификатного бизнеса Старткома» . mozilla.dev.security.policy (список рассылки).
  11. ^ «Агент веб-аутентификации страдает от нарушения безопасности» . Регистр . 26 июня 2011 года . Проверено 14 января 2012 г.
  12. ^ «Как StartCom сорвал Comodohacker: 4 урока» . Информационная неделя . 8 сентября 2011. Архивировано из оригинала 3 января 2013 года . Проверено 20 декабря 2012 г.
  13. ^ «Microsoft добавляет поддержку сертификатов StartCom» . StartCom.org. 24 сентября 2009. Архивировано из оригинала (Пресс-релиз) 17 июля 2011 года . Проверено 14 января 2011 г.
  14. ^ «Microsoft обновляет доверенные корневые сертификаты, включая StartCom» . Блог Naked Security на Sophos.com. 27 сентября 2009 г.
  15. ^ «Новые корни, новый EV и новый файл публичного суффикса» . Блог корневого магазина Opera.com.
  16. ^ Перейти обратно: а б с «Проблемы CA:WoSign — MozillaWiki» . Проверено 25 октября 2016 г.
  17. ^ «Недоверие к новым сертификатам WoSign и StartCom» . 24 октября 2016 года . Проверено 25 октября 2016 г.
  18. ^ «Недоверие к сертификатам WoSign и StartCom» . Блог Google по онлайн-безопасности . Проверено 2 ноября 2016 г.
  19. ^ «Списки доступных доверенных корневых сертификатов в iOS» . Веб-сайт поддержки Apple . Проверено 1 декабря 2016 г.
  20. ^ "685826 - Ограничить набор доменов для сертификатов WoSign/StartCom - хром - Монорельс" . bugs.chromium.org . Проверено 28 апреля 2017 г.
  21. ^ «Microsoft удалит сертификаты WoSign и StartCom в Windows 10» . Безопасность Windows . Проверено 11 августа 2017 г.
  22. ^ «Прекращение деятельности StartCom» . www.startcomca.com . Архивировано из оригинала 1 декабря 2017 г. Проверено 3 декабря 2017 г.
  23. ^ «Twitter/startssl: Мы выпустили небольшую страницу часто задаваемых вопросов…» StartCom. 13 апреля 2014 г.
  24. ^ «Часто задаваемые вопросы по Heartbleed» StartCom. 13 апреля 2014 г.
  25. ^ «Я использую StartCom, и вчера я отозвал и повторно ввел ключ. Причина отзыва ... Hacker News» . Джефф. 9 апреля 2014 г.
  26. ^ «Twitter/codeawe: @tonylampada @startssl…» Дж. Брайтпрах. 11 апреля 2014 г.
  27. ^ «Re: OpenSSL CVE-2014-0160 (также известный как «Heartbleed»)» . 9 января 2014 г. Архивировано из оригинала 13 апреля 2014 г.
  28. ^ «Большинство сертификатов StartSSL останутся скомпрометированными» . 9 апреля 2014 г.
  29. ^ «StartSSL, пожалуйста, отзовите меня!» . 12 апреля 2014 г. Архивировано из оригинала 12 апреля 2014 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  30. ^ Перейти обратно: а б «Мысли и наблюдения: тайная покупка WoSign компании StartCom; WoSign пригрозила судебными исками в связи с раскрытием информации» . www.percya.com . Архивировано из оригинала 5 сентября 2016 г. Проверено 8 сентября 2016 г.
  31. ^ «Мысли и наблюдения: StartCom, управляемый исключительно WoSign в Китае, — анализ нового веб-сайта StartCom» . www.percya.com . Архивировано из оригинала 7 сентября 2016 г. Проверено 8 сентября 2016 г.
  32. ^ https://letsphish.org
  33. ^ «Инциденты с участием CA WoSign» .
  34. ^ «История о том, как WoSign подарил мне SSL-сертификат для GitHub.com» .
  35. ^ Силс, Тара (2 ноября 2016 г.). «Google не доверяет сертификатам WoSign/StartCom» . Журнал ИнфоБезопасность . Проверено 7 июля 2017 г.
  36. ^ «1311832 — StartCom: Действия» . bugzilla.mozilla.org . Проверено 1 августа 2017 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: d4fcb4420153c9900e773f884505b42e__1720133820
URL1:https://arc.ask3.ru/arc/aa/d4/2e/d4fcb4420153c9900e773f884505b42e.html
Заголовок, (Title) документа по адресу, URL1:
StartCom - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)