Hlavní navigace

Problémové autority WoSign a StartCom se oddělí a vymění vedení

Roman Bořánek

Odebrání důvěry certifikačních autorit WoSign a StartCom je na spadnutí. Mateřská firma Qihoo 360 proto přiznala pochybení, plánuje reorganizaci a slibuje, že její dítka už budou sekat dobrotu.

Společnost Qihoo 360 se rozhodla řešit problémy s vlastněnou certifikační autoritou WoSign, které by jinak mohly znamenat i odebrání důvěry. V posledních měsících se totiž navršilo několik případů, kdy WoSign měla porušit několik ať psaných nebo nepsaných pravidel dodržovaných certifikačními autoritami. Celé to bylo završeno tím, že koupila další certifikační autoritu StartCom vydávající oblíbené StartSSL certifikáty a akvizici patřičně neohlásila.

WoSign nyní zveřejnila podrobný dokument (PDF), ve kterém nabízí svůj pohled na své hříchy, nutno říct že podložený řadou důkazů, popsané v našem starším článku a představuje plány do budoucna. WoSign v zásadě přiznává svá pochybení, ale popírá, že by šlo o úmyslné jednání. Většinou mělo jít o chyby, které WoSign podle přiložených dokumentů hlásila a snažila se je napravit.

Asi jediným případem, který si WoSign stoprocentně bere na triko, je antedatování certifikátů SHA-1 na konec roku 2015, protože tyto certifikáty vydané od roku 2016 prohlížeči nejsou akceptovány. WoSign uznává, že učinil závažnou chybu vydáním 64 antedatovaných certifikátů. Je povinností ředitele WoSign, aby dodržoval technickou a operační věrohodnost podle CA standardů, což zahrnuje zákaz antedatování, a nestalo se tak.

WoSign a StartCom se organizačně oddělí

WoSign samozřejmě chce pokračovat v co nejlepší nápravě svých přešlapů, ale to není vše. Qihoo 360 se své autority snaží zachránit velkou organizační změnou. Hlavním krokem bude vyčlenění autority StartCom z WoSign do samostatné firmy. Obě firmy/autority sice bude vlastnit Qihoo 360, ale budou právně i organizačně odděleny. Stejně jako řada dalších IT firem, které Qihoo 360 vlastní.

A samozřejmě budou padat hlavy. Odvolán už byl Richard Wang, výkonný ředitel WoSign, který byl logicky označen za hlavního viníka problémů. Jméno nástupce zatím nebylo oznámeno. Ředitelem StartCom se se stane Inigo Barreira, bývalý ředitel StartCom Europe. Na to, aby oddělení firem proběhlo správně, bude z pozice předsedy představenstva StartCom dohlížet bezpečnostní ředitel Qihoo 360.

Qihoo 360 prosí Mozillu o slitování

Certifikační autority WoSign a StartCom už dostaly prví velkou ránu – Apple odstranil mezilehlou autoritu WoSign ze svých operačních systémů macOS a iOS a bude důvěřovat pouze certifikátům vydaným do 19. září 2016. K podobnému kroku se chystá také Mozilla, která si však zatím nechává čas na podrobnější vyšetření případu.

Chceme podotknout, že StartCom fungoval jako oddělená vyhovující autorita mnoho let a jediná problémová záležitost se StartCom (dva antedatované certifikáty z července 2016) byla schválena ředitelem WoSign Richardem Wangem. Do té doby vedení, podnikání i technologie fungovaly mnoho let podle pravidel a sloužily mnoha zákazníkům, píše se ve vyjádření WoSign.

Firma dodává, že podnikla všechny žádané kroky k napravení situace, spolupracuje a hodlá dále spolupracovat s důležitými orgány odvětví a reorganizaci firem provede transparentně. Je dost možné, že k zachránění alespoň StartCom by to mohlo stačit. Citované prohlášení bylo vydáno ze strany WoSign, samozřejmě za dohledu managementu Qihoo 360. V plánu je také prohlášení StartCom, které by mělo nastínit další plány nové samostatné firmy.

Plně souhlasíme, že zachování bezpečnosti internetu je velmi důležité pro všechny zúčastněné včetně certifikačních autorit. Děkujeme Mozille za to, že vezme v úvahu prospěch současných uživatelů WoSign a StartCom. Oceňujeme to. Pro mnoho klientů z Číny je důležité používání domácí certifikační autority z důvodu bezpečnosti, uzavírá WoSign.

Našli jste v článku chybu?