Microsoft päätti äskettäin poistaa kahden kiinalaisen yrityksen suojaustodistukset heikkojen turvallisuusstandardien mukaisesti. Tämän seurauksena Internet Explorer ja Edge eivät enää hyväksy suojausvarmenteita WoSignilta ja StartComilta.

Pikamuistutuksena selaimet käyttävät suojaustodistuksia todentaakseen suojatut yhteydet verkkosivustoihin. Microsoftin päätös tehtiin sen jälkeen, kun raportit paljastivat, että nämä kaksi yritystä käyttivät kohtuuttomia tietoturvakäytäntöjä. Tarkemmin sanottuna molemmat yritykset tarjosivat ilmaisia ​​sertifikaatteja ja turvautuivat epärehellisiin käytäntöihin lisätäkseen käyttäjäpohjaaan.

Tässä on Microsoftin virallinen lausunto aiheesta:

Microsoft on päätellyt, että Kiinan sertifikaattiviranomaiset (WoSign) ja StartCom eivät ole pystyneet ylläpitämään luotettavan juuriohjelmamme vaatimuksia. Havaittuihin hyväksymättömiin turvallisuuskäytäntöihin kuuluvat SHA-1-varmenteiden takaisinotto, varmenteiden väärät myöntämiset, varmenteiden vahingossa tapahtuva peruuttaminen, kaksoiskappaleiden sarjanumerot ja useat CAB Forum Baseline Requirements (BR) -rikkomukset.

Microsoft arvostaa globaalia sertifikaattiviranomaisten yhteisöä ja tekee nämä päätökset vasta harkittuasi tarkkaan, mikä on parasta käyttäjien turvallisuudelle.

Microsoft ei ole ainoa yritys, joka teki tämän päätöksen. Muut tekniikan jättiläiset, kuten Google ja Apple, ovat jo luopuneet luottamuksestaan ​​WoSignin ja StartComin sertifikaateihin. Todennäköisesti muut yritykset seuraavat pian.

Microsoft aloittaa varmenteiden poistamisen syyskuussa

Yhtiö alkaa näiden todistusten luonnollisista poistoista ensi kuussa. Toisin sanoen kaikki olemassa olevat varmenteet jatkavat toimintaa, kunnes niiden voimassaoloaika loppuu. Syyskuun 2017 jälkeen Windows 10 ei luota näiden kahden yrityksen myöntämiin uusiin varmenteisiin.

Jos sinulla on tuotannossa WoSign- ja StartCom-varmenne, paras ratkaisu on korvata se vain toisella varmenteen avulla, jonka on myöntänyt luotettava ja luotettava varmentaja.