Entwickler äußern schon lange Kritik an der Vergabepraxis der Zertfikatsstellen (CA) Wosign aus China und Startcom aus Israel.
Apple hat nun die Konsequenzen gezogen und bekanntgegeben, neu ausgestellten Zertifikaten beider Unternehmen in iOS und MacOS künftig nicht mehr zu vertrauen. Diese Änderungen sollen mit dem nächsten Sicherheitsupdate wirksam werden.
Den beiden Zertifizierern wird unter anderem vorgeworfen, die Übernahme von Startcom durch Wosign verheimlicht zu haben. Inzwischen sollen beide Unternehmen zumindestens teilweise gemeinsame Infrastruktur nutzen. Hauptgrund für die Kritik waren aber von Wosign falsch ausgestellte Zertifikate, die nicht nur für eine Subdomain, sondern auch für die Hauptdomain gültig waren.
Schon ausgestellte Zertifikate sollen aber gültig bleiben, wenn sie vor dem 19. September 2016 in den öffentlichen Serverlogs des Certificate Transparency-Projektes registriert worden sind. Solche Zertifikate gelten weiter bis zu ihrem natürlichen Ablaufdatum oder bis sie vom Besitzer zurückgerufen werden.
Auch Mozilla könnte nach Presseberichten bald dem Beispiel von Apple folgen.