R·K·S自媒体
喜欢和你在一起 和你喜欢的一切在一起

多机构屏蔽WoSign证书 信任危机背后是否仍有余地

9月19日,沃通官方表示已完成对以色列CA证书StartCom公司的投资。一周后,Mozilla对外公布了沃通CA13页不正当行为的调查报告,正式提议将停止信任WoSign和StartCom签发的新证书,最短期限为一年,一年之后如果WoSign和StartCom能满足条件Mozilla可以再次接纳它们。

配图

屋漏偏逢连夜雨,9月30日Apple于 iOS 可信根证书列表中宣布屏蔽其对中级CA WoSign CA Free SSL Certificate G2的信任,并将视调查进展对 WoSign/StartCom 采取进一步行动。据悉WoSign(沃通) 并不处于 Apple 可信根证书列表中,而是通过与 StartCom 和 Comodo 的交叉签名来建立其于 Apple 产品中的信任。为了避免影响现有的 WoSign(沃通) 证书持有者,于2016年9月19日前签发且登记在证书透明度(Certificate Transparency)公共日志服务器上的证书仍将被信任。

尽管 WoSign(沃通) 近期坏消息不断,但值得注意的是 Mozilla 仍未正式决定对 WoSign/StartCom 的处罚,亦未对其信任状态采取任何实际行动,之前发布的报告仅代表调查小组的建议(propose)。针对这一调查结果,奇虎360 和 StartCom公司 已要求下周二和 Mozilla 的代表于伦敦举行秘密会议,商讨下一步行动,而 WoSign(沃通) 本身及其 CEO 王高华(aka Richard Wang)拒绝参与会议。

值得注意的是,WoSign对外宣布的是对StartCom公司进行投资,然而外界诸多声音和证据却越来越指明WoSign CA已经100%收购StartCom CA。虽然公司CEO王高华仍然拒绝承认,但WoSign的母公司奇虎360这已公开承认。不久后王高华又坚称StartCom独立运营,其原始系统没有发生改变,然而有充分的技术证据证明StartCom在被收购一个半月后,它就开始使用WoSign的基础设施签发证书。

知情人士透露,StartCom的网站StartSSL.com在2015年12月18日关闭升级系统,到12月22日重新开放时它就切换到了WoSign的系统。

虽然以上措施都是一系列的商业举措,但是随着越来越多的CA机构对WoSign(沃通)的不信任,相信此事件依然会影响一批人。特别是采用WoSign/StartCom免费证书的用户。沃通信任危机背后是否仍有余地,免费SSL证书之后又会走向何方?可能此事的漩涡才刚刚开始。

赞(0) 打赏
码字很辛苦·转载请注明:狸卡司 » 多机构屏蔽WoSign证书 信任危机背后是否仍有余地

评论 3

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    我们还有Let’s Encrypt呢!

    网友5369159524年前 (2017-01-29)回复
  2. #2

    我们还有Let’s Encrypt呢!

    Corps4年前 (2017-01-29)回复
  3. #3

    许多云主机厂商都提供免费亚洲诚信或赛门铁克DV凭证,可以暂时替代Wosign与StartSSL

    larry承育4年前 (2017-03-23)回复

如您觉得文章很棒,还可以打赏支持我们

支付宝扫一扫打赏

微信扫一扫打赏