StartCom

israelisches Unternehmen

StartCom war ein Unternehmen in Eilat, Israel, das Software herstellte und als Zertifizierungsstelle digitale Zertifikate ausstellte.

StartCom
Rechtsform Kapitalgesellschaft
Sitz Eilat
Leitung Revital Nigg, Eddy Nigg
Branche Informationstechnik
Website www.startcom.org

Entzug des Vertrauens als Zertifizierungsstelle

Bearbeiten

Anfang 2016 ist es zu Unregelmäßigkeiten in der Zertifikatsvergabe bei WoSign, dem Mutterunternehmen von StartCom, gekommen. Zum einen wurden Zertifikate zurückdatiert ausgestellt, um eine Beschränkung von SHA1-Zertifikaten zu umgehen. Zum anderen haben StartCom und die Zertifizierungsstelle WoSign es versäumt, ihre Verbundenheit offenzulegen.

Im September 2016 hat Mozilla, der Hersteller des Internetbrowsers Firefox, Konsequenzen gegen die Zertifizierungsstelle angekündigt, da diese gegen die Richtlinien verstoßen hat.[1] Als Konsequenz hat Mozilla am 24. Oktober 2016 angekündigt, mit dem kommenden Firefox Release 51 Zertifikaten der Zertifizierungsstelle das Vertrauen zu entziehen, die nach dem 21. Oktober 2016 ihre Gültigkeit erlangten.[2][3][4] Google kündigte den gleichen Schritt für Google Chrome ab Version 56 an[5], Apple vertraut Zertifikaten von StartCom, die ab dem 1. Dezember 2016 ausgestellt wurden, ebenfalls nicht mehr.[6] Ab Google Chrome 57 werden die meisten StartSSL-Zertifikate nicht mehr als vertrauenswürdig anerkannt, auch wenn diese vor dem 21. Oktober 2016 ausgestellt worden sind.[7]

Am 16. November 2017 gab StartCom bekannt, ab dem 1. Januar 2018 keine Zertifikate mehr zu erstellen und den Geschäftsbetrieb einzustellen.[8][9]

Produkte

Bearbeiten

StartCom Linux

Bearbeiten

Seit August 2004 bot das Unternehmen die Linux-Distribution StartCom Enterprise Linux an, die auf dem Quelltext von Red Hat Enterprise Linux Advanced basierte.[10]

StartSSL PKI

Bearbeiten

Seit Februar 2005 war das Unternehmen als Zertifizierungsstelle tätig.[11]

Das bekannteste Produkt war das kostenlose Class 1 X.509 SSL-Zertifikat „StartSSL Free“, das sowohl für Webserver (SSL/TLS) als auch für die E-Mail-Verschlüsselung (S/MIME) eingesetzt werden konnte. Außerdem wurden Class 2 Zertifikate und Extended-Validation-SSL-Zertifikate ausgestellt, für die eine kostenpflichtige Validierung Voraussetzung war.

StartCom-Zertifikate wurden bis zum Jahr 2016 von diversen Browsern akzeptiert: Mozilla Firefox unterstützte sie ab Version 2.0[12], Opera seit Juli 2010[13], Apple Mac OS X ab Mac OS X Leopard 10.5 und Microsoft Windows seit September 2009[14]; Apple Safari, Internet Explorer und Google Chrome greifen auf den Zertifikatsspeicher des Betriebssystems zurück.

Für Class 2 Zertifikate verlangte StartCom die vollständige Kopie eines Personalausweises oder Reisepasses und speicherte diese laut eigenen Registrierungsbedingungen für "mindestens 7 Jahre". Das Vorgehen widersprach den Regelungen des deutschen Telekommunikationsgesetzes, das die sofortige Löschung von Passkopien nach Prüfung verlangt (§95 (4) TKG). Des Weiteren sind die Kopiereinschränkungen des Personalausweises zu beachten.

Einzelnachweise

Bearbeiten
  1. Zertifikate: Mozilla will Startcom und Wosign das Vertrauen entziehen - Golem.de. (golem.de [abgerufen am 26. Oktober 2016]).
  2. Distrusting New WoSign and StartCom Certificates. In: Mozilla Security Blog. Abgerufen am 26. Oktober 2016.
  3. Zertifikats-Schmu bei WoSign und StartCom: Mozilla macht Ernst | heise Security. In: m.heise.de. Abgerufen am 26. Oktober 2016.
  4. 1311832 - StartCom Action Items. Mozilla.org, 20. Oktober 2016, abgerufen am 22. Oktober 2016.
  5. Distrusting WoSign and StartCom Certificates. Google, 31. Oktober 2016, abgerufen am 14. November 2016.
  6. Aufhebung der Vertrauenswürdigkeit von WoSign CA Free SSL Certificate G2. Apple, 5. Dezember 2016, abgerufen am 11. Dezember 2016.
  7. Restrict the set of WoSign/StartCom certs to the Alexa Top 1M. Google, 26. Februar 2017, abgerufen am 16. März 2017.
  8. Termination of StartCom business. StartCom, 16. November 2017, archiviert vom Original am 1. Dezember 2017; abgerufen am 18. November 2017.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.startcomca.com
  9. Termination of the certificates business of Startcom. Google, 17. November 2017, abgerufen am 18. November 2017.
  10. Linux goes blue and white - StartCom Linux. StartCom, 2. August 2004, archiviert vom Original am 25. August 2007; abgerufen am 6. Januar 2011.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/linux.startcom.org
  11. StartCom Free SSL Certificate Project. StartCom, 20. Februar 2005, archiviert vom Original am 25. August 2007; abgerufen am 6. Januar 2011.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/linux.startcom.org
  12. Heise Online: Mozilla vertraut kostenlosen StartCom Zertifikaten. 3. Juni 2006, abgerufen am 4. März 2010.
  13. Opera Blog: New Roots, new EV, and a new Public Suffix file. Archiviert vom Original am 1. August 2010; abgerufen am 10. Dezember 2010.
  14. Heise-Security: Internet Explorer unterstützt kostenlose Zertifikate. 26. September 2009, abgerufen am 4. März 2010.