StartCom

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
StartCom
Rechtsform Kapitalgesellschaft
Sitz Eilat
Leitung Revital Nigg, Eddy Nigg
Branche Informationstechnik
Website www.startcom.org

StartCom ist ein Unternehmen in Eilat, Israel, das Software herstellt und als Zertifizierungsstelle digitale Zertifikate ausstellt.

Entzug des Vertrauens als Zertifizierungsstelle[Bearbeiten | Quelltext bearbeiten]

Anfang 2016 ist es zu Unregelmäßigkeiten in der Zertifikatsvergabe bei WoSign, dem Mutterunternehmen von StartCom, gekommen. Zum einen wurden Zertifikate zurückdatiert ausgestellt, um eine Beschränkung von SHA1-Zertifikaten zu umgehen. Zum anderen haben StartCom und die Zertifizierungsstelle WoSign es versäumt, ihre Verbundenheit offen zu legen.

Im September 2016 hat Mozilla, der Hersteller des Internetbrowsers Firefox, Konsequenzen gegen die Zertifizierungsstelle angekündigt, da diese gegen die Richtlinien verstoßen hat.[1] Als Konsequenz hat Mozilla am 24. Oktober 2016 angekündigt, mit dem kommenden Firefox Release 51 Zertifikaten der Zertifizierungsstelle das Vertrauen zu entziehen, die nach dem 21. Oktober 2016 ihre Gültigkeit erlangten.[2][3][4]

Google kündigte den gleichen Schritt für Google Chrome ab Version 56 an.[5]

Apple kündigte daraufhin an, Zertifikaten von StartCom, die nach dem 1.12.2016 Gültigkeit erlangen, ebenfalls nicht mehr zu vertrauen.[6]

Produkte[Bearbeiten | Quelltext bearbeiten]

StartCom Linux[Bearbeiten | Quelltext bearbeiten]

Seit August 2004 bietet das Unternehmen die Linux-Distribution StartCom Enterprise Linux an, die auf dem Quelltext von Red Hat Enterprise Linux Advanced basiert.[7]

StartSSL PKI[Bearbeiten | Quelltext bearbeiten]

Seit Februar 2005 ist das Unternehmen als Zertifizierungsstelle tätig.[8]

Das bekannteste Produkt ist das kostenlose Class 1 X.509 SSL-Zertifikat „StartSSL Free“, das sowohl für Webserver (SSL/TLS) als auch für die E-Mail-Verschlüsselung (S/MIME) eingesetzt werden kann. Außerdem werden Class 2 Zertifikate und Extended-Validation-SSL-Zertifikate ausgestellt, für die eine kostenpflichtige Validierung Voraussetzung ist.

StartCom-Zertifikate werden von allen modernen Browsern akzeptiert: Mozilla Firefox unterstützt sie schon ab Version 2.0[9], Opera seit Juli 2010[10], Apple Mac OS X ab Version 10.5 (Leopard) und Microsoft Windows seit September 2009[11]; Apple Safari, Internet Explorer und Google Chrome greifen auf den Zertifikatsspeicher des Betriebssystems zurück.

Für Class 2 Zertifikate verlangt StartCom die vollständige Kopie eines Personalausweises oder Reisepasses und speichert diese laut eigenen Registrierungsbedingungen für "mindestens 7 Jahre". Das Vorgehen widerspricht den Regelungen des deutschen Telekommunikationsgesetzes, das die sofortige Löschung von Passkopien nach Prüfung verlangt (§95 (4) TKG). Des Weiteren sind die Kopiereinschränkungen des Personalausweises zu beachten.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Zertifikate: Mozilla will Startcom und Wosign das Vertrauen entziehen - Golem.de. (golem.de [abgerufen am 26. Oktober 2016]).
  2. Distrusting New WoSign and StartCom Certificates. In: Mozilla Security Blog. Abgerufen am 26. Oktober 2016.
  3. Zertifikats-Schmu bei WoSign und StartCom: Mozilla macht Ernst | heise Security. In: m.heise.de. Abgerufen am 26. Oktober 2016.
  4. 1311832 - StartCom Action Items. Mozilla.org. 20. Oktober 2016. Abgerufen am 22. Oktober 2016.
  5. Distrusting WoSign and StartCom Certificates. Google. 31. Oktober 2016. Abgerufen am 14. November 2016.
  6. Aufhebung der Vertrauenswürdigkeit von WoSign CA Free SSL Certificate G2. Apple. 5. Dezember 2016. Abgerufen am 11. Dezember 2016.
  7. Linux goes blue and white - StartCom Linux. StartCom. 2. August 2004. Abgerufen am 6. Januar 2011.
  8. StartCom Free SSL Certificate Project. StartCom. 20. Februar 2005. Abgerufen am 6. Januar 2011.
  9. Heise-Online: Mozilla vertraut kostenlosen StartCom Zertifikaten. 3. Juni 2006, abgerufen am 4. März 2010.
  10. Opera Blog: New Roots, new EV, and a new Public Suffix file. Archiviert vom Original am 1. August 2010, abgerufen am 10. Dezember 2010.
  11. Heise-Security: Internet Explorer unterstützt kostenlose Zertifikate. 26. September 2009, abgerufen am 4. März 2010.