Fragen? Antworten! Siehe auch: Alternativlos
Money Quote 1:
Additional circumstantial evidence that WoSign’s certificate issuance machinery had a notBefore of 20th December 2015 hard-coded somewhere for SHA-1 issuance is found in the events of Issue V, where in July 2016 a researcher tinkered with the StartEncrypt API published by StartCom and managed, to his surprise, to get it to produce two SHA-1 WoSign certs back-dated to this date.
Hintergrund ist, dass SHA-1 inzwischen als nicht sicher genug gilt und nur noch auf Zertifikaten vor 2016 akzeptiert wird. Also haben die halt ihr Perl-Skript gehackt, damit es weiterhin SHA-1 ausstellt, aber so tut, als seien die noch im Dezember 2015 ausgestellt worden. Ganz großes Kino.Oh und wer sich jetzt denkt, naja, beim ersten Audit fliegt das sicher auf, der sieht sich getäuscht:
WoSign’s auditors, Ernst & Young (Hong Kong), have failed to detect multiple issues they should have detected. (Issue J, Issue X)
Und daher findet Mozilla jetzt, dass man ab jetzt keine Audits von Ernst&Young Hong Kong mehr akzeptieren dürfe.