Mozilla 将封杀沃通和 StartSSL 一年内新签发的所有证书

Catalin Cimpanu 的头像

·

·

·

9,888 次阅读

Firefox 浏览器背后的 Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。

Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令。

这两家 CA 试图规避 SHA-1 停用政策

该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算法的证书。而 Mozilla 指责沃通今年还在签发 SHA-1 签名的证书,并将签发日期倒填成去年 12 月份。

虽然 Mozilla 也允许一些其它的 CA 在 2016 年 1 月 1 日之后继续签发 SHA-1 证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的 CA 这样做,而显然沃通没有得到同意。

沃通秘密收购了 StartCom

此外,沃通似乎在否认其收购了以色列 CA 公司 StartCom。Mozilla 说,沃通已经于 2015 年 11 月 1 日百分百地收购了 StartCom。而另一方面,据奇虎 360 称,它共计持有 84% 的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。

此外,在 Mozilla 披露的技术细节中显示,StartCom 已经开始使用沃通的基础架构来签发新的证书了。而且,StartCom 也和沃通一样在 2016 年采用了倒填日期的手段来签发 SHA-1 证书。Mozilla 的安全工程师也展示了这种违例的案例细节。

Mozilla 的调查发现,一个和 GeoTrust CA 合作了多年的付费处理机构 Tyro 突然在 6 月中旬使用 StartCom 部署了一个 SHA-1 签名的证书,而此前该机构从未和 StartCom 有过合作。该证书看起来是在 2015 年 12 月 20 日签发的,而在同一个日期 StartCom 签发大量的 SHA-1 证书。Mozlla 发现这些证书部署于 2016 年中,这很不正常,这显然是采用倒填日期来规避 SHA-1 停用的策略。

这些问题以及其它的更多问题让 Mozilla 决定在至少一年内不再信任沃通和 StartCom 的 SSL 证书。

或许会永久封杀

Mozilla 说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla 将准备封杀这两个公司的所有证书。

“许多人都在盯着 Web PKI 安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla 会立即永久地取消对沃通和 StartCom 根证书的信任。”该报告中说。

此外,Chrome 和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla 说。

8 条回复

  1. 来自四川成都的 Chrome 53.0|GNU/Linux 用户 的头像
    来自四川成都的 Chrome 53.0|GNU/Linux 用户

    邻站 OSC 就使用的 WoSign 签署的证书,而且还是 http 和 https 混用。

    来自成都
  2. kashu [Chrome 53.0|Windows 8.1] 的头像
    kashu [Chrome 53.0|Windows 8.1]

    关于这个严肃的问题,大家可以看看 Ubuntu中文论坛 的这个帖子,就知道始末了
    http://forum.ubuntu.org.cn/viewtopic.php?f=126&t=475291

    来自长沙
  3. 来自广东广州的 Firefox 49.0|Ubuntu 用户 的头像
    来自广东广州的 Firefox 49.0|Ubuntu 用户

    草 我们公司以前就是用的wosign,后来换赛门铁克了好像

    来自深圳
  4. 来自北京的 Chrome 55.0|Mac 10.11 用户 的头像
    来自北京的 Chrome 55.0|Mac 10.11 用户

    中枪!我去,这事儿什么时候会定,我需要换证书了orz…

    来自北京
  5. 来自江苏南京的 Vivaldi 1.4|GNU/Linux 用户 的头像
    来自江苏南京的 Vivaldi 1.4|GNU/Linux 用户

    这是个严重问题呀

    来自南京
  6. 来自112.51.26.78的 Chrome Mobile 51.0|Android 6.0 用户 的头像
    来自112.51.26.78的 Chrome Mobile 51.0|Android 6.0 用户

    要是chrome也这么积极就好了
    不过chrome毕竟安全上可以将就一下的

    来自福州
  7. hsyan2008 [Chrome 53.0|GNU/Linux] 的头像
    hsyan2008 [Chrome 53.0|GNU/Linux]

    本来已经准备采购的,合同都谈好了,还好看到这个新闻!

    来自上海
  8. linux [Chrome 53.0|Mac 10.11] 的头像
    linux [Chrome 53.0|Mac 10.11]

    还好还好!

    来自北京

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注