StartCom
| Typ | Privat företag |
|---|---|
| Industri | Internetsäkerhet , Infrastruktur för offentlig nyckel |
| Grundad | 1999 |
| Grundare | Eddy Nigg |
| Nedlagd | 1 januari 2018 |
| Huvudkontor | , |
Område som betjänas |
Över hela världen |
Nyckelpersoner |
Iñigo Barreira (VD), Tan Xiaosheng (ordförande), Yang Qing |
| Ägare | Qihoo 360 Group |
| Förälder | StartCom CA Ltd. (Storbritannien), StartCom CA Ltd. (HK) |
StartCom var en certifikatmyndighet grundad i Eilat , Israel , och senare baserad i Peking , Kina , som hade tre huvudaktiviteter: StartCom Enterprise Linux ( Linuxdistribution ), StartSSL ( certifikatutfärdare ) och MediaHost ( webbhotell ). StartCom etablerade filialer i Kina , Hong Kong , Storbritannien och Spanien . På grund av flera fel på företagets sida togs alla StartCom-certifikat bort från Mozilla Firefox i oktober 2016 och Google Chrome i mars 2017, inklusive tidigare utfärdade certifikat, med liknande borttagningar från andra webbläsare som förväntas följa.
StartCom förvärvades i hemlighet av WoSign Limited ( Shenzhen , Guangdong , Kina ), genom flera företag, vilket avslöjades av Mozilla-utredningen relaterad till borttagningen av rotcertifikatet av WoSign och StartCom 2016. På grund av sanktionerna från både Mozilla och Apple, företaget tillkännagav att det skulle omstruktureras under 2016 av WoSigns moderbolag Qihoo 360 Group , vilket lösgör StartCom från det skandaldrabbade WoSign och gör det till ett dotterbolag till Qihoo.
Trots försök att ta avstånd från kontroversen tillkännagav StartCom den 16 november 2017 att verksamheten avslutades och den 1 januari 2018 slutade de leverera nya certifikat, vilket i praktiken stängde företaget. Webbplatserna StartSSL, StartCom och StartCom CA omdirigerar nu till WoSigns butikssida.
StartSSL
StartCom erbjöd det kostnadsfria Class 1 X.509 SSL-certifikatet "StartSSL Free", som fungerar för webbservrar ( SSL/TLS ) samt för e-postkryptering ( S/MIME ) . Det erbjöd också klass 2 och 3 certifikat samt utökade valideringscertifikat , där en omfattande validering (med kostnader) var obligatorisk.
Även om certifikat var gratis och obegränsat för vissa användningsområden, fanns det begränsningar om inte en uppgradering köps:
- Tre års certifikat giltighet
- Återkallelse av certifikat kräver en avgift
I juni 2011 drabbades företaget av ett nätverksbrott som resulterade i att StartCom ställde in utfärdandet av digitala certifikat och relaterade tjänster i flera veckor. Angriparen kunde inte använda detta för att utfärda certifikat (och StartCom var den enda brutna leverantören, av sex, där angriparen blockerades från att göra det).
Trovärdighet
StartSSL-certifikatet inkluderades som standard i Mozilla Firefox 2.x och senare, i Apple Mac OS X sedan version 10.5 (Leopard) , alla Microsofts operativsystem sedan 24 september 2009 och Opera sedan 27 juli 2010. Sedan Google Chrome , Apple Safari och Internet Explorer använder operativsystemets certifikatlager, alla större webbläsare inkluderade tidigare stöd för StartSSL-certifikat.
Den 30 september 2016, under utredningen om WoSign , meddelade Apple att deras programvara inte kommer att acceptera certifikat utfärdade av ett av WoSign-certifikaten efter den 19 september 2016, och sa att de kommer att vidta ytterligare åtgärder mot WoSign/StartCom-förtroendeankare allt eftersom utredningen fortskrider.
Den 24 oktober 2016 tillkännagav Mozilla på sin säkerhetsblogg att Mozilla, efter upptäckten av köpet av StartCom av en annan certifikatutfärdare som heter WoSign under sin utredning av ett flertal problem med den CA, och att båda har misslyckats med att avslöja denna transaktion, kommer Mozilla att sluta betrodda certifikat som utfärdas efter 21 oktober 2016 med början med Firefox 51. Den 1 november 2016 meddelade Google att även Google skulle sluta lita på certifikat som utfärdats efter 21 oktober 2016 från och med Chrome 56. Certifikat som utfärdats före detta datum kan fortsätta att vara betrodda, för en gång, men i efterföljande Chrome-versioner kommer dessa undantag att reduceras och slutligen tas bort. Den 30 november 2016 kommer Apple-produkter att blockera certifikat från WoSign och StartCom root CA om datumet "Inte före" är den 1 december 2016 eller senare 00:00:00 GMT/UTC.
Från och med version 57 kommer Google Chrome bara att lita på WoSign/StartCom-certifikat som utfärdats till webbplatser i Alexa Top 1M-listan, och Chrome 58 kommer bara att lita på de i Alexa Top 500k.
Den 8 augusti 2017 meddelade Microsoft på sin Windows Security-blogg att Windows 10 inte kommer att lita på några nya certifikat från WoSign och StartCom efter september 2017.
Trots förändringar i företagets struktur såg StartCom inte "någon tydlig indikation från webbläsarna på att StartCom skulle kunna återvinna förtroendet" från webbläsarföretagen. Därför har StartCom stoppat utfärdandet av alla certifikat sedan 1 januari 2018 och kommer att avsluta verksamheten helt till 2020 genom att återkalla alla utfärdade certifikat.
Svar på Heartbleed
Den 13 april 2014 tillkännagav StartCom en FAQ-sida relaterad till Heartbleed , en kritisk bugg i OpenSSL som uppskattas ha gjort 17 % av Internets säkra webbservrar sårbara för datastöld.
StartComs policy var att debitera $25 för varje återkallat certifikat, och det vägrade att avstå från denna avgift i fallet med certifikat som äventyras på grund av Heartbleed, även om vissa betalande kunder beviljades en enda gratis återkallelse. Detta fick många att tvivla på StartComs status som certifikatutfärdare. När StartCom försågs med bevis på ett komprometterat certifikat vägrade StartCom att återkalla certifikatet gratis, vilket gav förtroende även efter att StartCom hade fått veta att certifikatet hade komprometterats.
Kontroverser
I augusti 2016 rapporterades det att StartCom såldes till WoSign, en kinesisk CA. Det ursprungliga avslöjandet togs bort av juridiska skäl. Däremot finns återinlägg av originalartiklarna fortfarande tillgängliga. Sambandet är oklart, men det verkar som om StartComs tekniska infrastruktur användes av WoSign när de ertappades med att utfärda ett hundratal felaktigt validerade SSL-certifikat, inklusive ett certifikat för github.com.
En undersökning av Google och Mozilla fann att WoSign medvetet och avsiktligt felutfärdade certifikat för att kringgå webbläsarbegränsningar och CA-krav. Som ett resultat anslöt sig Google till Mozilla och Apple och planerade att misstro alla WoSign- och StartCom-certifikat med början 2017. Den 17 juli 2017 gjordes ett tillkännagivande om omstruktureringen av företaget. Det meddelades att StartCom nu till 100 % hanteras av Qihoo 360, inga StartCom-anställda arbetar i WoSigns lokaler, granskningar har gjorts av externa penntestare och ett nytt CMS-system utvecklades.
