Hlavní navigace

Problémové autority WoSign a StartCom se oddělí a vymění vedení

Roman Bořánek 10. 10. 2016

Odebrání důvěry certifikačních autorit WoSign a StartCom je na spadnutí. Mateřská firma Qihoo 360 proto přiznala pochybení, plánuje reorganizaci a slibuje, že její dítka už budou sekat dobrotu.

Společnost Qihoo 360 se rozhodla řešit problémy s vlastněnou certifikační autoritou WoSign, které by jinak mohly znamenat i odebrání důvěry. V posledních měsících se totiž navršilo několik případů, kdy WoSign měla porušit několik ať psaných nebo nepsaných pravidel dodržovaných certifikačními autoritami. Celé to bylo završeno tím, že koupila další certifikační autoritu StartCom vydávající oblíbené StartSSL certifikáty a akvizici patřičně neohlásila.

WoSign nyní zveřejnila podrobný dokument (PDF), ve kterém nabízí svůj pohled na své hříchy, nutno říct že podložený řadou důkazů, popsané v našem starším článku a představuje plány do budoucna. WoSign v zásadě přiznává svá pochybení, ale popírá, že by šlo o úmyslné jednání. Většinou mělo jít o chyby, které WoSign podle přiložených dokumentů hlásila a snažila se je napravit.

Asi jediným případem, který si WoSign stoprocentně bere na triko, je antedatování certifikátů SHA-1 na konec roku 2015, protože tyto certifikáty vydané od roku 2016 prohlížeči nejsou akceptovány. WoSign uznává, že učinil závažnou chybu vydáním 64 antedatovaných certifikátů. Je povinností ředitele WoSign, aby dodržoval technickou a operační věrohodnost podle CA standardů, což zahrnuje zákaz antedatování, a nestalo se tak.

WoSign a StartCom se organizačně oddělí

WoSign samozřejmě chce pokračovat v co nejlepší nápravě svých přešlapů, ale to není vše. Qihoo 360 se své autority snaží zachránit velkou organizační změnou. Hlavním krokem bude vyčlenění autority StartCom z WoSign do samostatné firmy. Obě firmy/autority sice bude vlastnit Qihoo 360, ale budou právně i organizačně odděleny. Stejně jako řada dalších IT firem, které Qihoo 360 vlastní.

A samozřejmě budou padat hlavy. Odvolán už byl Richard Wang, výkonný ředitel WoSign, který byl logicky označen za hlavního viníka problémů. Jméno nástupce zatím nebylo oznámeno. Ředitelem StartCom se se stane Inigo Barreira, bývalý ředitel StartCom Europe. Na to, aby oddělení firem proběhlo správně, bude z pozice předsedy představenstva StartCom dohlížet bezpečnostní ředitel Qihoo 360.

Qihoo 360 prosí Mozillu o slitování

Certifikační autority WoSign a StartCom už dostaly prví velkou ránu – Apple odstranil mezilehlou autoritu WoSign ze svých operačních systémů macOS a iOS a bude důvěřovat pouze certifikátům vydaným do 19. září 2016. K podobnému kroku se chystá také Mozilla, která si však zatím nechává čas na podrobnější vyšetření případu.

Chceme podotknout, že StartCom fungoval jako oddělená vyhovující autorita mnoho let a jediná problémová záležitost se StartCom (dva antedatované certifikáty z července 2016) byla schválena ředitelem WoSign Richardem Wangem. Do té doby vedení, podnikání i technologie fungovaly mnoho let podle pravidel a sloužily mnoha zákazníkům, píše se ve vyjádření WoSign.

Firma dodává, že podnikla všechny žádané kroky k napravení situace, spolupracuje a hodlá dále spolupracovat s důležitými orgány odvětví a reorganizaci firem provede transparentně. Je dost možné, že k zachránění alespoň StartCom by to mohlo stačit. Citované prohlášení bylo vydáno ze strany WoSign, samozřejmě za dohledu managementu Qihoo 360. V plánu je také prohlášení StartCom, které by mělo nastínit další plány nové samostatné firmy.

Plně souhlasíme, že zachování bezpečnosti internetu je velmi důležité pro všechny zúčastněné včetně certifikačních autorit. Děkujeme Mozille za to, že vezme v úvahu prospěch současných uživatelů WoSign a StartCom. Oceňujeme to. Pro mnoho klientů z Číny je důležité používání domácí certifikační autority z důvodu bezpečnosti, uzavírá WoSign.

Našli jste v článku chybu?

10. 10. 2016 14:40

m. (neregistrovaný)

Ja myslel ze vedeni je komunisticka strana ciny ci nejakej jeji velkopapalas. To se da vubec vymenit?

10. 10. 2016 22:47

tony (neregistrovaný)

To je nějaký test příčetnosti, ne? Číňané a důvěra nejdou dohromady. Za peníze prodají babičku, dceru i ledvinu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte