多机构屏蔽WoSign证书 信任危机背后是否仍有余地

3,389 次浏览次阅读
3条评论

9 月 19 日,沃通官方表示已完成对以色列 CA 证书 StartCom 公司的投资。一周后,Mozilla 对外公布了沃通 CA13 页不正当行为的调查报告,正式提议将停止信任 WoSign 和 StartCom 签发的新证书,最短期限为一年 ,一年之后如果 WoSign 和 StartCom 能满足条件 Mozilla 可以再次接纳它们。

多机构屏蔽

屋漏偏逢连夜雨, 9 月 30 日 Apple 于 iOS 可信根证书列表中宣布屏蔽其对中级 CA WoSign CA Free SSL Certificate G2 的信任 ,并将视调查进展对 WoSign/StartCom 采取进一步行动。据悉 WoSign(沃通)并不处于 Apple 可信根证书列表中,而是通过与 StartCom 和 Comodo 的交叉签名来建立其于 Apple 产品中的信任。为了避免影响现有的 WoSign(沃通)证书持有者,于 2016 年 9 月 19 日前签发且登记在证书透明度(Certificate Transparency)公共日志服务器上的证书仍将被信任。

尽管 WoSign(沃通)近期坏消息不断,但值得注意的是 Mozilla 仍未正式决定对 WoSign/StartCom 的处罚,亦未对其信任状态采取任何实际行动,之前发布的报告仅代表调查小组的建议(propose)。针对这一调查结果, 奇虎 360 和 StartCom 公司 已要求下周二和 Mozilla 的代表于伦敦举行秘密会议 ,商讨下一步行动,而 WoSign(沃通)本身及其 CEO 王高华(aka Richard Wang)拒绝参与会议。

值得注意的是,WoSign 对外宣布的是对 StartCom 公司进行投资,然而外界诸多声音和证据却越来越指明 WoSign CA 已经 100% 收购 StartCom CA。虽然公司 CEO 王高华仍然拒绝承认,但 WoSign 的母公司奇虎 360 这已公开承认。不久后王高华又坚称 StartCom 独立运营,其原始系统没有发生改变,然而有充分的技术证据证明 StartCom 在被收购一个半月后,它就开始使用 WoSign 的基础设施签发证书。

知情人士透露,StartCom 的网站 StartSSL.com 在 2015 年 12 月 18 日关闭升级系统,到 12 月 22 日重新开放时它就切换到了 WoSign 的系统。

虽然以上措施都是一系列的商业举措,但是随着越来越多的 CA 机构对 WoSign(沃通)的不信任,相信此事件依然会影响一批人。特别是采用 WoSign/StartCom 免费证书的用户。沃通信任危机背后是否仍有余地,免费 SSL 证书之后又会走向何方?可能此事的漩涡才刚刚开始。

酥耳狸
版权声明:本站原创文章,由 酥耳狸 2016-10-03发表,共计1040字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(3条评论)
验证码
载入中...
网友536915952
2017-01-29 14:22:58 回复

我们还有Let’s Encrypt呢!

changyanchangyan
Corps
2017-01-29 14:22:58 回复

我们还有Let’s Encrypt呢!

changyanchangyan
larry承育
2017-03-23 09:48:23 回复

许多云主机厂商都提供免费亚洲诚信或赛门铁克DV凭证,可以暂时替代Wosign与StartSSL

changyanchangyan