Microsoft postanowił niedawno usunąć certyfikaty bezpieczeństwa od dwóch chińskich firm, które przestrzegają złych standardów bezpieczeństwa. W rezultacie Internet Explorer i Edge nie akceptują już certyfikatów bezpieczeństwa od WoSign i StartCom.

Dla przypomnienia przeglądarki używają certyfikatów bezpieczeństwa do uwierzytelniania bezpiecznych połączeń ze stronami internetowymi. Decyzja Microsoftu pojawia się po tym, jak raporty ujawniły, że obie firmy stosowały niedopuszczalne praktyki bezpieczeństwa. Mówiąc dokładniej, obie firmy oferowały bezpłatne certyfikaty i stosowały nieuczciwe praktyki w celu zwiększenia bazy użytkowników.

Oto oficjalne oświadczenie Microsoft w tej sprawie:

Microsoft doszedł do wniosku, że chińskie urzędy certyfikacji WoSign i StartCom nie utrzymały standardów wymaganych przez nasz Zaufany program główny. Zaobserwowane niedopuszczalne praktyki bezpieczeństwa obejmują cofanie certyfikatów SHA-1, błędne wystawianie certyfikatów, przypadkowe unieważnienie certyfikatów, duplikowanie numerów seryjnych certyfikatów oraz liczne naruszenia wymagań podstawowych forum CAB (BR).

Microsoft ceni globalną społeczność urzędów certyfikacji i podejmuje te decyzje dopiero po uważnym rozważeniu, co jest najlepsze dla bezpieczeństwa naszych użytkowników.

Microsoft nie jest jedyną firmą, która podjęła tę decyzję. Inni giganci technologiczni, w tym Google i Apple, już odwołali zaufanie do certyfikatów WoSign i StartCom. Najprawdopodobniej wkrótce pojawią się inne firmy.

Microsoft rozpoczyna usuwanie certyfikatów we wrześniu

Firma rozpocznie naturalną amortyzację tych certyfikatów w przyszłym miesiącu. Innymi słowy, wszystkie istniejące certyfikaty będą działać do momentu wygaśnięcia. Po wrześniu 2017 roku system Windows 10 nie będzie ufał żadnym nowym certyfikatom wydanym przez obie firmy.

Jeśli masz produkcyjny certyfikat WoSign i StartCom, najlepszym rozwiązaniem jest po prostu zastąpienie go innym certyfikatem wydanym przez zaufany i niezawodny urząd certyfikacji.