WoSign证书事件回顾

最新推荐文章于 2024-05-28 11:01:58 发布

转载最新推荐文章于 2024-05-28 11:01:58 发布 · 1.2k 阅读

CC 4.0 BY-SA版权

原文链接：https://my.oschina.net/1pei/blog/835769

本文回顾了2015年至2016年间，WoSign和StartCom因信任问题被谷歌、Mozilla等浏览器厂商不再认可的过程。事件起因于CNNIC授权代理商滥用证书，接着WoSign被收购后也因不合规行为遭受信任危机。受影响的还包括赛门铁克，其误发大量证书导致与谷歌冲突。这些事件对SSL证书市场和网络安全产生了深远影响。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

为什么80%的码农都做不了架构师？>>>

2015年4月，谷歌和火狐浏览器都宣布不再信任中国CNNIC数字证书，原因是埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。虽然后来调查发现这事是中国CNNIC授权的证书发布代理商干的，但并没有改变他们的决定。

----------------------------------------------------------------------------------------------

WoSign CA于2015.08已经100%收购StartCom CA，而WoSign的母公司是奇虎360。

2016年10月25日Mozilla宣布：Firefox 51以后不再信任WoSign和StartCom两者在2016年10月21日后颁发的所有证书。

谷歌技术博客（https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html）正式发文，并决定Chrome56以后不再信任WoSign和StartCom两者在10月21日，2016后颁发的所有证书。

2016年11月21日，遭到 Google 和 Mozilla 浏览器停止信任的沃通CA并没有退出CA市场，它开始推出新的产品，转变为Certum CA的SSL证书转售商。有人因此质疑对沃通的制裁现在似乎毫无意义了。Certum CA 隶属于波兰公司Asseco Data Systems S.A.，是浏览器信任的 Root CA 之一，该公司的分析师Arkadiusz Ławniczak 证实沃通是该公司分销网络的合作伙伴，他们最近向沃通签发了一个中级证书，允许沃通使用自己的品牌发行 Certum 的证书，但私钥等仍然控制在 Certum 手中。沃通的王高华仍然在职，他表示没有规定禁止沃通转售其他CA的证书。

沃通新版SSL证书是由Certum签发中级根的方式提供，作为重新预置自主顶级根之前的过渡方案。官方公告表示，新版SSL证书性能有所提升。“新的SSL证书产品价格不变，但性能有如下提升：

(1) 支持所有浏览器和各种新老操作系统，支持各种新老移动终端；

(2) 3级证书链，无需安装任何交叉根证书；

(3) 支持Java JDK (Tomcat)；

(4) 支持3种域名验证方式(域名所有权验证、网站控制权验证和DNS TXT记录验证)。”

此外，沃通还宣布即将推出Java代码签名证书，以弥补目前WoSign代码签名证书不支持Java的不足。

------------------------------------------------------------------------------------------------

在2015年9月，赛门铁克承认旗下Thawte凭证机构误发Google.com延伸验证证书（Extended Validation，EV），并开除相关员工。然而当时赛门铁克表示误发了23个证书，但谷歌后来发现其实总量超过3万个。

谷歌2016年3月底表态，Chrome将不再承认赛门铁克签发的所有证书。原本Chrome浏览器会在地址栏显示有效网址持有者，即赛门铁克的名称，但谷歌工程师Ryan Sleevi指出，从现在起至少一年间，谷歌不再显示该项目，这意味赛门铁克的证书被降级为较不安全的网域证书。由于2015年赛门铁克签发的证书占整个互联网所有有效证书的30%，此举将导致数百万Chrome用户无法访问大量网站。为了降低冲击，Chrome将在未来新版Chrome中逐步缩短赛门铁克证书的有效期限。其中，在Chrome 59中，这些证书有效期间为33个月，到Chrome 64时，将缩短为9个月。

-------------------------------------------------------------------------------------------------------

[1] Mozilla表态将停止信任WoSign 和StartCom签发的新证书， https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
http://digi.163.com/16/0927/11/C1VFNHL4001687H3.html

[2] 沃通SSL证书事件全程回顾, https://xshell.net/security/1602.html

[3] WoSign在最新事故报告承认签发了64个SHA-1证书, https://www.landiannews.com/archives/26568.html

[4] WoSign Incidents Report Update, 2016-10-07,

https://www.wosign.com/report/WoSign_Incident_Report_Update_07102016.pdf

[5] Let’s Encrypt的2016年, https://xshell.net/security/1660.html

转载于:https://my.oschina.net/1pei/blog/835769