Google waarschuwt websites met WoSign- of StartCom-certificaat

[Captain Kirk]

Google waarschuwt websites met een ssl-certificaat van certificaatautoriteiten WoSign of StartCom, want vanaf september krijgen Chrome-gebruikers bij het bezoeken van deze websites een waarschuwing te zien dat het aangeboden certificaat niet wordt vertrouwd. Vanwege verschillende incidenten heeft Google besloten het vertrouwen in certificaten van WoSign en StartCom op te zeggen.

Vorig jaar augustus werd Google ingelicht door het beveiligingsteam van GitHub dat WoSign zonder toestemming een certificaat voor één van GitHubs domeinen had uitgegeven. Het onderzoek dat volgde liet zien dat er nog meer incidenten bij de certificaatautoriteiten hadden plaatsgevonden. Aangezien het direct blokkeren van ssl-certificaten van beide certificaatautoriteiten een grote impact op websites en Chrome-gebruikers zou hebben besloot Google het vertrouwen geleidelijk op te zeggen.

Eerst werden alleen voor 21 oktober 2016 uitgegeven certificaten nog vertrouwd. Vervolgens werd deze groep certificaten via een whitelist beperkt tot de 1 miljoen populairste websites en dit aantal is Google aan het afbouwen. Met de lancering van Chrome 61 in september zal de whitelist worden verwijderd en zullen alle certificaten van WoSign en StartCom een waarschuwing in de browser veroorzaken. Google adviseert webmasters dan ook om dergelijke certificaten met spoed te vervangen om de verstoring voor Chrome-gebruikers te beperken.

 

 

bron: security.nl