青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 谷歌办公应用Google Apps更名G Suite微信刷量:社交商业模式的破产 »

Mozilla和苹果拟屏蔽沃通和StartSSL的证书

  Firefox 浏览器背后的 Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令。

  这两家 CA 试图规避 SHA-1 停用政策

  该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算法的证书。而 Mozilla 指责沃通今年还在签发 SHA-1 签名的证书,并将签发日期倒填成去年 12 月份。

  虽然 Mozilla 也允许一些其它的 CA 在 2016 年 1 月 1 日之后继续签发 SHA-1 证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的 CA 这样做,而显然沃通没有得到同意。

  沃通秘密收购了 StartCom

  此外,沃通似乎在否认其收购了以色列 CA 公司 StartCom。Mozilla 说,沃通已经于 2015 年 11 月 1 日百分百地收购了 StartCom。而另一方面,据奇虎 360 称,它共计持有 84% 的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。

  此外,在 Mozilla 披露的技术细节中显示,StartCom 已经开始使用沃通的基础架构来签发新的证书了。而且,StartCom 也和沃通一样在 2016 年采用了倒填日期的手段来签发 SHA-1 证书。Mozilla 的安全工程师也展示了这种违例的案例细节。

  Mozilla 的调查发现,一个和 GeoTrust CA 合作了多年的付费处理机构 Tyro 突然在 6 月中旬使用 StartCom 部署了一个 SHA-1 签名的证书,而此前该机构从未和 StartCom 有过合作。该证书看起来是在 2015 年 12 月 20 日签发的,而在同一个日期 StartCom 签发大量的 SHA-1 证书。Mozlla 发现这些证书部署于 2016 年中,这很不正常,这显然是采用倒填日期来规避 SHA-1 停用的策略。

  这些问题以及其它的更多问题让 Mozilla 决定在至少一年内不再信任沃通和 StartCom 的 SSL 证书。

  或许会永久封杀

  Mozilla 说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla 将准备封杀这两个公司的所有证书。

  “许多人都在盯着 Web PKI 安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla 会立即永久地取消对沃通和 StartCom 根证书的信任。”该报告中说。

  此外,Chrome 和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla 说。

  苹果屏蔽对WoSign的信任 但事态仍有挽回余地

  9月30日 Apple 于 iOS 可信根证书列表中宣布屏蔽其对中级CA WoSign CA Free SSL Certificate G2 的信任,并将视调查进展对 WoSign/StartCom 采取进一步行动。WoSign 并不处于 Apple 可信根证书列表中,而是通过与 StartCom 和 Comodo 的交叉签名来建立其于 Apple 产品中的信任。为了避免影响现有的 WoSign 证书持有者,于2016年9月19日前签发且登记在证书透明度(Certificate Transparency)公共日志服务器上的证书仍将被信任。

  鉴于 WoSign/StartCom 并未积极登记其于2015年及之前签发的证书,且2016年上半年签发的证书均未登记,2016年9月19日前获签发的 WoSign 证书持有者仍有可能受到影响。担心受到影响的用户可于 Certificate Search 及 Google Transparency Report 检查所持有证书的登记状态。

  尽管 WoSign 近期坏消息不断,但值得注意的是 Mozilla 仍未正式决定对 WoSign/StartCom 的处罚,亦未对其信任状态采取任何实际行动,之前发布的报告仅代表调查小组的建议(propose)。针对这一调查结果,Qihoo 360 和 StartCom 已要求下周二和 Mozilla 的代表于伦敦举行秘密会议,商讨下一步行动,而 WoSign 本身及其 CEO 王高华(aka Richard Wang)拒绝参与会议。

  英文原文:http://news.softpedia.com/news/mozilla-ready-to-ban-wosign-certificates-for-one-year-after-shady-behavior-508674.shtml



  除非注明,88必发娱乐城文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.rikbrooks.com/archives/4747.html
  • 1.石樱灯笼
  • 这两家的证书已经被我设置成不受信了。行为太过可耻。
  • 2016/10/2 23:12:35   支持(6)反对(0) 回复
  • 2.最最和谐
  • 国内从未升级的XP太多。造成SHA2证书用起来很麻烦。所以就铤而走险了
  • 2016/10/2 12:32:04   支持(6)反对(2) 回复
  • 3.链路状态
  • 很奇怪签发颠倒日期的证书有什么作用?难道要试图攻陷https的安全策略
    fffh 于 2016/10/6 19:13:19 回复
    看文中的意思,浏览器不支持2016年之后的sha-1证书,但是CA还想发sha-1证书,又想被浏览器承认,就把签发日期改成2015年。
    性质就像公证机构随便填写公证时间一样。
  • 2016/10/4 20:50:24   支持(0)反对(0) 回复
  • 4.evhfxfhh
  • 发车支持这个,作恶的公司就应该扫进垃圾堆
  • 2017/3/2 7:13:13   支持(0)反对(0) 回复
  • 5.洋得意自媒体
  • 感谢分享 欢迎回访
  • 2016/10/2 23:16:46   支持(0)反对(1) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注我的推特:关注我的推特
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循88必发娱乐城,88必发娱乐网站,88必发娱乐官网的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.