1. Як був запущений StartCom SSL?
2. Отже, як встановлюється StartCom SSL?
3. Недовіра браузерів - це вірна смерть
4. Заява компанії:

Це знаменує собою кінець дивною, можливо, навіть застерігає історії про те, як одного разу довірений CA відправився в "нокаут" протягом приблизно одного року, коли браузери не довіряли йому.

Як був запущений StartCom SSL?

StartCom SSL почав свою роботу досить скромно в Ізраїлі, як невеликий регіональний CA, що спеціалізується на сертифікаті Start SSL. Ось тут і закінчується зворушливий інтерес, так як Mozilla в 2016 році виявив, що CA був таємно придбаний китайським центром сертифікації WoSign Limited через кілька компаній. Тут почалися помилки. Не так багато творцями StartCom (хоча схоже, що вони можуть бути також винні), а WoSign і його тепер звільненого генерального директора Річарда Ванга. WoSign був спійманий за фальсифіковані SSL-сертифікати, з їх допомогою можна підписувати алгоритми хешування SHA-1 і браузери цього не бачать. Це категорично заборонено, в основному тому, що це небезпечно, але також тому, що браузеру дійсно не подобається, коли його намагаються обдурити. SHA-1, скорочення від Secure Hash Algorithm 1, є криптографічного хеш-функцією, яка була спочатку розроблена NSA. На жаль, це застаріло пару років назад. Промислові стандарти тепер вимагають, щоб всі SSL-сертифікати підписувалися з використанням SHA-2 - його наступником. WoSign знав, що він не повинен видавати SSL-сертифікати, які все ще використовують SHA-1, він знав, що будь-який сертифікат SHA-1, випущений після закінчення терміну дії, не буде в списку довірених web-браузерів. Таким чином, WoSign пішли на підлість, щоб спробувати отримати довіру браузерів. Про це ми писали в попередній статті . На жаль, Mozilla це зрозуміла.

Отже, як встановлюється StartCom SSL?

Під час розслідування помилкових випусків WoSign - Mozilla змогла обчислити, що WoSign придбав StartCom через різні загальнодоступні бізнес-документи і досліджувала систему зворотного зв'язку, які використовували обидві компанії. Тут все почалося для StartCom. По-перше, WoSign і StartCom, не порушували ніяких законів. Незважаючи на докази зворотного, генеральний директор WoSign Ванг продовжував говорити, що ніякого придбання не відбулося, і обидва Центру Сертифікації продовжували голосувати в Форумі CA / B - як окремих суб'єктів, незважаючи на те, що вони фактично були єдиною компанією. Потім стало ясно, що StartCom використовує деякі системи валідації WoSign. Саме через це два помилково виданих сертифіката були зроблені з використанням PKI StartCom. По всій видимості, StartCom очолювали Wang і WoSign, що зробило його співучасником.

Недовіра браузерів - це вірна смерть

StartCom і WoSign не довіряли всі основні браузери минулої осені. Це: Google Chrome, Mozilla Firefox, Apple Safari і Microsoft IE / Edge. Коли ЦС НЕ довірений, це означає, що кореневі сертифікати, що належать цьому ЦС, видаляються зі сховищ довіри браузерів. Не вдаючись в подробиці, величезна частина PKI має загальновизнані коріння. У кожного браузера є список попередньо довірених кореневих сертифікатів, вже завантажених на ньому.

Коли браузер намагається підключитися до web-сайту за допомогою SSL, він намагається зв'язати цей сертифікат SSL з одним з коренів, які він зберіг у своєму сховищі довіри. Це означає, що кожен СА повинен мати свій власний довірений корінь або повинен мати проміжну ланку, яке прив'язується до когось іншого. Коли StartCom не була довірений, це означало, що всі його кореневі сертифікати були вилучені з цих сховищ довіри. У свою чергу, всі сертифікати SSL для StartCom, які повинні були прив'язуватися до одного з цих коренів, також стали не довіреними. Це призвело до того, що StartCom вже мертвий близько року, так як він не може видавати публічно довірені сертифікати.

Заява компанії:

«Не дивлячись на зусилля, зроблені протягом цього часу StartCom, до сих пір у браузерів не було чіткої вказівки, що StartCom зможе відновити довіру. Тому власники StartCom вирішили припинити свою роботу в якості центру сертифікації ». Це рішення не матиме великого впливу на ринок SSL . До цього моменту більшість клієнтів StartCom SSL перейшли в інший центр сертифікації.

Згідно w3techs.com, StartCom має всього 0,1% ринку.