StartCom

StartCom war ein Unternehmen in Eilat, Israel, das Software herstellte und als Zertifizierungsstelle digitale Zertifikate ausstellte.

StartCom
Rechtsform	Kapitalgesellschaft
Sitz	Eilat
Leitung	Revital Nigg, Eddy Nigg
Branche	Informationstechnik
Website	www.startcom.org

Entzug des Vertrauens als Zertifizierungsstelle

Anfang 2016 ist es zu Unregelmäßigkeiten in der Zertifikatsvergabe bei WoSign, dem Mutterunternehmen von StartCom, gekommen. Zum einen wurden Zertifikate zurückdatiert ausgestellt, um eine Beschränkung von SHA1-Zertifikaten zu umgehen. Zum anderen haben StartCom und die Zertifizierungsstelle WoSign es versäumt, ihre Verbundenheit offenzulegen.

Im September 2016 hat Mozilla, der Hersteller des Internetbrowsers Firefox, Konsequenzen gegen die Zertifizierungsstelle angekündigt, da diese gegen die Richtlinien verstoßen hat.^[1] Als Konsequenz hat Mozilla am 24. Oktober 2016 angekündigt, mit dem kommenden Firefox Release 51 Zertifikaten der Zertifizierungsstelle das Vertrauen zu entziehen, die nach dem 21. Oktober 2016 ihre Gültigkeit erlangten.^[2][3][4] Google kündigte den gleichen Schritt für Google Chrome ab Version 56 an^[5], Apple vertraut Zertifikaten von StartCom, die ab dem 1. Dezember 2016 ausgestellt wurden, ebenfalls nicht mehr.^[6] Ab Google Chrome 57 werden die meisten StartSSL-Zertifikate nicht mehr als vertrauenswürdig anerkannt, auch wenn diese vor dem 21. Oktober 2016 ausgestellt worden sind.^[7]

Am 16. November 2017 gab StartCom bekannt, ab dem 1. Januar 2018 keine Zertifikate mehr zu erstellen und den Geschäftsbetrieb einzustellen.^[8][9]

Produkte

StartCom Linux

Seit August 2004 bot das Unternehmen die Linux-Distribution StartCom Enterprise Linux an, die auf dem Quelltext von Red Hat Enterprise Linux Advanced basierte.^[10]

StartSSL PKI

Seit Februar 2005 war das Unternehmen als Zertifizierungsstelle tätig.^[11]

Das bekannteste Produkt war das kostenlose Class 1 X.509 SSL-Zertifikat „StartSSL Free“, das sowohl für Webserver (SSL/TLS) als auch für die E-Mail-Verschlüsselung (S/MIME) eingesetzt werden konnte. Außerdem wurden Class 2 Zertifikate und Extended-Validation-SSL-Zertifikate ausgestellt, für die eine kostenpflichtige Validierung Voraussetzung war.

StartCom-Zertifikate wurden bis zum Jahr 2016 von diversen Browsern akzeptiert: Mozilla Firefox unterstützte sie ab Version 2.0^[12], Opera seit Juli 2010^[13], Apple Mac OS X ab Mac OS X Leopard 10.5 und Microsoft Windows seit September 2009^[14]; Apple Safari, Internet Explorer und Google Chrome greifen auf den Zertifikatsspeicher des Betriebssystems zurück.

Für Class 2 Zertifikate verlangte StartCom die vollständige Kopie eines Personalausweises oder Reisepasses und speicherte diese laut eigenen Registrierungsbedingungen für "mindestens 7 Jahre". Das Vorgehen widersprach den Regelungen des deutschen Telekommunikationsgesetzes, das die sofortige Löschung von Passkopien nach Prüfung verlangt (§95 (4) TKG). Des Weiteren sind die Kopiereinschränkungen des Personalausweises zu beachten.