Microsoft besluttet nylig å fjerne sikkerhetssertifikatene fra to kinesiske selskaper etter dårlige sikkerhetsstandarder. Som et resultat godtar Internet Explorer og Edge ikke lenger sikkerhetssertifikater fra WoSign og StartCom.

Som en rask påminnelse bruker nettlesere sikkerhetssertifikater for å autentisere sikre tilkoblinger til nettsteder. Microsofts avgjørelse kommer etter at rapporter avdekket at de to selskapene brukte uakseptabel sikkerhetspraksis. Mer spesifikt tilbød begge selskapene gratis sertifikater og benyttet seg av uærlig praksis for å øke brukerbasen.

Her er Microsofts offisielle uttalelse om saken:

Microsoft har konkludert med at de kinesiske sertifikatmyndighetene (CAs) WoSign og StartCom ikke har opprettholdt standardene som kreves av vårt Trusted Root-program. Observerte uakseptable sikkerhetspraksis inkluderer tilbakedaterte SHA-1-sertifikater, feilutstedelse av sertifikater, utilsiktet tilbakekall av sertifikater, duplikat-serienummer og flere brudd på CAB Forum Baseline Requirements (BR).

Microsoft verdsetter det globale Certificate Authority-samfunnet og tar bare disse beslutningene etter nøye vurdering av hva som er best for sikkerheten til våre brukere.

Microsoft er ikke det eneste selskapet som tok denne avgjørelsen. Andre tech-giganter, inkludert Google og Apple, trakk allerede tilbake tilliten til sertifikater fra WoSign og StartCom. Mest sannsynlig vil andre selskaper snart følge.

Microsoft begynner å fjerne sertifikatene i september

Selskapet vil starte den naturlige avskrivningen av disse sertifikatene neste måned. Med andre ord, alle eksisterende sertifikater vil fortsette å fungere til de selv utløper. Etter september 2017 vil ikke Windows 10 stole på noen nye sertifikater utstedt av de to selskapene.

Hvis du har et WoSign- og StartCom-sertifikat i produksjon, er den beste løsningen å erstatte det med et annet sertifikat utstedt av en pålitelig og pålitelig Certificate Authority.