StartCom era una autoridad de certificación fundada en Eilat , Israel , y luego con sede en Beijing , República Popular de China , que tenía tres actividades principales: StartCom Linux Enterprise ( distribución de Linux ), StartSSL ( autoridad de certificación ) y MediaHost ( alojamiento web ). StartCom estableció sucursales en China , Hong Kong , Reino Unido y España . [3] Debido a múltiples fallas por parte de la empresa, todos los certificados StartCom se eliminaron de Mozilla Firefox en octubre de 2016 [4]y Google Chrome en marzo de 2017, incluidos los certificados emitidos anteriormente, y se espera que sigan eliminaciones similares de otros navegadores. [5]
Tipo | Empresa privada |
---|---|
Industria | Seguridad en Internet , Infraestructura de clave pública |
Fundado | 1999 |
Fundador | Eddy Nigg [1] |
Difunto | 1 de enero de 2018 [2] |
Sede | , |
Área de servicio | Mundial |
Gente clave | Iñigo Barreira (director ejecutivo), Tan Xiaosheng (presidente), Yang Qing |
Dueño | Grupo Qihoo 360 |
Padre | StartCom CA Ltd. (Reino Unido), StartCom CA Ltd. (HK) |
StartCom fue adquirida en secreto [6] por WoSign Limited ( Shenzen , Guangdong , República Popular de China ), a través de varias empresas, [a] que fue revelada por la investigación de Mozilla [6] relacionada con la eliminación del certificado raíz de WoSign y StartCom en 2016. Debido a las sanciones de Mozilla y Apple, [7] [8] la compañía anunció que sería reestructurada durante 2016 por la matriz de WoSign, Qihoo 360 Group , separando StartCom del WoSign afectado por el escándalo y convirtiéndola en una subsidiaria de Qihoo. [b] [9]
A pesar de los intentos de distanciarse de la controversia, el 16 de noviembre de 2017 StartCom anunció la terminación del negocio y el 1 de enero de 2018 dejó de entregar nuevos certificados, cerrando efectivamente la empresa. [10] [11] Los sitios web de StartSSL, StartCom y StartCom CA ahora redireccionan a la página de la tienda de WoSign.
StartSSL
StartCom ofreció el certificado SSL Clase 1 X.509 gratuito "StartSSL Free", que funciona tanto para servidores web ( SSL / TLS ) como para cifrado de correo electrónico ( S / MIME ). También ofreció certificados de Clase 2 y 3, así como Certificados de Validación Extendida , donde una validación completa (con costos) era obligatoria.
Si bien los certificados eran gratuitos e ilimitados para ciertos usos, se impusieron limitaciones a menos que se comprara una actualización:
- Validez del certificado de tres años
- La revocación del certificado requiere una tarifa
En junio de 2011, la compañía sufrió una violación de la red que resultó en que StartCom suspendiera la emisión de certificados digitales y servicios relacionados durante varias semanas. [12] El atacante no pudo usar esto para emitir certificados (y StartCom fue el único proveedor violado, de seis, donde el atacante no pudo hacerlo). [13]
Integridad
El certificado StartSSL se incluyó de forma predeterminada en Mozilla Firefox 2.xy versiones posteriores, en Apple Mac OS X desde la versión 10.5 (Leopard) , todos los sistemas operativos de Microsoft desde el 24 de septiembre de 2009, [14] [15] y Opera desde el 27 de julio de 2010. [16] Dado que Google Chrome , Apple Safari e Internet Explorer utilizan el almacén de certificados del sistema operativo, todos los navegadores principales incluían anteriormente soporte para certificados StartSSL.
El 30 de septiembre de 2016, durante la investigación de WoSign , Apple anunció que su software no aceptará certificados emitidos por uno de los certificados de WoSign después del 19 de septiembre de 2016, y dijo que tomaría más medidas sobre los anclajes de confianza de WoSign / StartCom a medida que avanza la investigación. [8]
El 24 de octubre de 2016, Mozilla anunció en su blog de seguridad que, tras su descubrimiento de la compra de StartCom por otra autoridad de certificación llamada WoSign durante su investigación sobre numerosos problemas con esa CA, y que ninguno de los dos ha revelado esta transacción, [17] Mozilla dejará de confiar en los certificados emitidos después del 21 de octubre de 2016 a partir de Firefox 51. [18] El 1 de noviembre de 2016, Google anunció que también dejaría de confiar en los certificados emitidos después del 21 de octubre de 2016 a partir de Chrome 56. Los certificados emitidos antes de esta fecha pueden continuará siendo de confianza, por un tiempo, pero en versiones posteriores de Chrome, estas excepciones se reducirán y, en última instancia, se eliminarán. [19] El 30 de noviembre de 2016, los productos Apple bloquearán los certificados de las CA raíz de WoSign y StartCom si la fecha "No antes" es el 1 de diciembre de 2016 a las 00:00:00 GMT / UTC o posterior. [20]
A partir de la versión 57, Google Chrome solo confiará en los certificados WoSign / StartCom que se emitieron a sitios en la lista Alexa Top 1M, y Chrome 58 solo confiará en aquellos en Alexa Top 500k. [21]
El 8 de agosto de 2017, Microsoft anunció en su blog de seguridad de Windows que Windows 10 no confiará en ningún certificado nuevo de WoSign y StartCom después de septiembre de 2017. [22]
A pesar de los cambios en la estructura de la empresa, StartCom no vio "ninguna indicación clara de los navegadores de que StartCom podría recuperar la confianza" de las compañías de navegadores. Por lo tanto, StartCom ha detenido la emisión de todos los certificados desde el 1 de enero de 2018 y terminará el negocio por completo para 2020 al revocar todos los certificados emitidos. [23]
Respuesta a Heartbleed
El 13 de abril de 2014, StartCom anunció [24] una página de preguntas frecuentes [25] relacionada con Heartbleed , un error crítico en OpenSSL que se estima que dejó al 17% de los servidores web seguros de Internet vulnerables al robo de datos.
La política de StartCom era cobrar $ 25 por cada certificado revocado, y se negó a renunciar a esta tarifa en el caso de certificados comprometidos debido a Heartbleed, aunque a algunos clientes de pago se les otorgó una única revocación gratuita. [26] [27] [28] Esto hizo que muchos dudaran del estatus de StartCom como autoridad de certificación. [29] Cuando se le proporcionó una prueba de un certificado comprometido, StartCom se negó a revocar el certificado de forma gratuita, proporcionando confianza incluso después de que StartCom se enteró de que el certificado había sido comprometido. [30]
Controversias
En agosto de 2016 se informó que StartCom se vendió a WoSign, una CA china. [17] [31] [32] La divulgación original se retiró por razones legales. [33] Sin embargo, todavía se pueden publicar los artículos originales. [31] La relación no está clara, pero parece que WoSign estaba utilizando la infraestructura técnica de StartCom cuando fueron sorprendidos emitiendo alrededor de cien [34] certificados SSL validados incorrectamente, incluido un certificado para github.com. [17] [35]
Una investigación de Google y Mozilla descubrió que WoSign emitió incorrectamente certificados a sabiendas e intencionalmente para eludir las restricciones del navegador y los requisitos de CA. Como resultado, Google se unió a Mozilla y Apple y planeó desconfiar de todos los certificados WoSign y StartCom a partir de 2017. [36] El 17 de julio de 2017, se hizo un anuncio sobre la reestructuración de la empresa. Se anunció que StartCom ahora está 100% administrado por Qihoo 360, no hay empleados de StartCom trabajando en las instalaciones de WoSign, se han realizado auditorías por probadores de lápiz externos y se desarrolló un nuevo sistema CMS. [37]
Ver también
- Criptografía
- Certificado de clave pública
- Infraestructura de Clave Pública
- Vamos a cifrar
Notas al pie
- ^ Estructura a octubre de 2016: WoSign CA Limited Hong-Kong → StartCom CA Limited (HK) → StartCom CA Limited (Reino Unido)
- ^ Reestructuración planificada a partir de octubre de 2016, que se implementará a lo largo de finales de 2016: a través de la cadena de empresas Qihoo 360 → Qifei Int'l Development Ltd. (HK) → StartCom CA Ltd. (HK), que posee el 100% de StartCom ( CH) y StartCom CA Ltd. (Reino Unido), que a su vez es propietaria de StartCom Ltd. (Israel) y StartCom CA Ltd. (España)
Referencias
- ^ Chirgwin, Richard (10 de octubre de 2016). "Las cabezas ruedan cuando Qihoo 360 se mueve para finalizar WoSign, fila de certificado StartCom" . El registro . Consultado el 10 de diciembre de 2016 .
- ^ Nohe, Patrick (20 de noviembre de 2017). "StartCom SSL cerrándose a partir del 1 de enero de 2018" . Consultado el 6 de junio de 2018 .
- ^ "Acerca de StartCom" . El registro . 26 de abril de 2016. Archivado desde el original el 25 de junio de 2016 . Consultado el 7 de junio de 2016 .
- ^ https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
- ^ Adam C. Engst. "Por qué Take Control fue etiquetado brevemente como" No seguro " " . Tomar el control.
- ^ a b Mozilla (10 de octubre de 2016). "WoSign y StartCom" . Consultado el 25 de octubre de 2016 .
- ^ manzana (30 de septiembre de 2016). "Bloqueo de confianza para WoSign CA certificado SSL gratuito G2 (IOS)" .
- ^ a b manzana (30 de septiembre de 2016). "Bloqueo de confianza para WoSign CA Certificado SSL gratuito G2 (MacOS)" .
- ^ Grupo Qihoo 360 (14 de octubre de 2016). "Plan de remediación de StartCom" (PDF) . Archivado desde el original (PDF) el 26 de octubre de 2016 . Consultado el 25 de octubre de 2016 .
- ^ "Certificados StartSSL ™ e infraestructura de clave pública" . www.startcomca.com . Archivado desde el original el 1 de diciembre de 2017 . Consultado el 17 de noviembre de 2017 .
- ^ 谭晓生 (17 de noviembre de 2017). "Terminación del negocio de certificados de Startcom" . mozilla.dev.security.policy (lista de correo).
- ^ "La autoridad de autenticación web sufre una violación de seguridad" . El registro . 26 de junio de 2011 . Consultado el 14 de enero de 2012 .
- ^ "Cómo StartCom frustrado Comodohacker: 4 lecciones" . InformationWeek . 8 de septiembre de 2011. Archivado desde el original el 3 de enero de 2013 . Consultado el 20 de diciembre de 2012 .
- ^ "Microsoft agrega soporte para certificados StartCom" . StartCom.org. 24 de septiembre de 2009. Archivado desde el original (comunicado de prensa) el 17 de julio de 2011 . Consultado el 14 de enero de 2011 .
- ^ "Microsoft actualiza los certificados raíz de confianza para incluir StartCom" . Blog de Sophos.com Naked Security. 27 de septiembre de 2009.
- ^ "Nuevas raíces, nuevo EV y un nuevo archivo de sufijo público" . Blog de Opera.com Rootstore.
- ^ a b c "CA: Problemas de WoSign - MozillaWiki" . Consultado el 25 de octubre de 2016 .
- ^ "Desconfiar de los nuevos certificados WoSign y StartCom" . 24 de octubre de 2016 . Consultado el 25 de octubre de 2016 .
- ^ "Desconfiar de los certificados WoSign y StartCom" . Blog de seguridad en línea de Google . Consultado el 2 de noviembre de 2016 .
- ^ "Listas de certificados raíz de confianza disponibles en iOS" . Sitio web de soporte de Apple . Consultado el 1 de diciembre de 2016 .
- ^ "685826 - Restringir el conjunto de dominios para certificados WoSign / StartCom - cromo - Monorail" . bugs.chromium.org . Consultado el 28 de abril de 2017 .
- ^ "Microsoft para eliminar los certificados WoSign y StartCom en Windows 10" . Seguridad de Windows . Consultado el 11 de agosto de 2017 .
- ^ "Terminación del negocio de StartCom" . www.startcomca.com . Archivado desde el original el 1 de diciembre de 2017 . Consultado el 3 de diciembre de 2017 .
- ^ "Twitter / startssl: lanzamos una pequeña página de preguntas frecuentes ..." StartCom. 13 de abril de 2014.
- ^ "Preguntas frecuentes de Heartbleed" StartCom. 13 de abril de 2014.
- ^ "Utilizo StartCom, y ayer revoqué y volví a introducir la clave. En el motivo de la revocación, ... Hacker News" . Geoff. 9 de abril de 2014.
- ^ "Twitter / codeawe: @tonylampada @startssl ..." J. Breitsprecher. 11 de abril de 2014.
- ^ "Re: OpenSSL CVE-2014-0160 (también conocido como" Heartbleed ")" . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014.
- ^ "La mayoría de los certificados StartSSL permanecerán comprometidos" . 9 de abril de 2014.
- ^ "StartSSL, por favor revocarme!" . 12 de abril de 2014. Archivado desde el original el 12 de abril de 2014.CS1 maint: URL no apta ( enlace )
- ^ a b "Pensamientos y observaciones: compra secreta de StartCom por WoSign; WoSign amenazó con acciones legales sobre la divulgación" . www.percya.com . Archivado desde el original el 5 de septiembre de 2016 . Consultado el 8 de septiembre de 2016 .
- ^ "Pensamientos y observaciones: StartCom operado únicamente por WoSign en China - un análisis del nuevo sitio web de StartCom" . www.percya.com . Archivado desde el original el 7 de septiembre de 2016 . Consultado el 8 de septiembre de 2016 .
- ^ https://letsphish.org
- ^ https://groups.google.com/d/topic/mozilla.dev.security.policy/k9PBmyLCi8I/discussion
- ^ "La historia de cómo WoSign me dio un certificado SSL para GitHub.com" .
- ^ Seals, Tara (2 de noviembre de 2016). "Google desconfía de los certificados WoSign / StartCom" . Revista InfoSecurity . Consultado el 7 de julio de 2017 .
- ^ "1311832 - StartCom: elementos de acción" . bugzilla.mozilla.org . Consultado el 1 de agosto de 2017 .
enlaces externos
- Página web oficial
- Blog de StartCom