StartCom 被举报再次签发假证书,CEO 回应已撤销

简介:

近日,有网友在 Google group 上发帖称,发现 StartCom 签发了几个明显的假证书:
https://crt.sh/?id=146437565
Subject:

commonName                = ov 
organizationName          = test 
localityName              = Beijing 
stateOrProvinceName       = Beijing 
countryName               = Beijing 
serialNumber              = 123456 

X509v3 Subject Alternative Name:

DNS:www.test.cn 

https://crt.sh/?id=146484676
Subject:

commonName                = iv 
givenName                 = Jeremy 
surname                   = Liao 
localityName              = Beijing 
stateOrProvinceName       = Beijing 
countryName               = CN 

X509v3 Subject Alternative Name:

DNS:www.test.cn 

https://crt.sh/?id=146517428
Subject:

commonName                = ov 
organizationName          = test 
localityName              = Beijing 
stateOrProvinceName       = Beijing 
countryName               = Beijing 
serialNumber              = 123456 

X509v3 Subject Alternative Name:

DNS:www.test.cn 

奇虎 360 旗下的 StartCom 之前已经被大部分浏览器取消信任,但现在又签发了假的证书,包括最高信任级别的 EV 证书。该网友表示,这些证书在主流浏览器上将不被接受,但是由于他们的根证书仍然在 NSS 信任存储中,所以对于这种明显的违规行为还是值得探究的。

对此,StartCom CEO Iñigo Barreira 回应称,他们是为了测试而签发了假的证书,证书已被立即撤销。他随后进一步解释说,StartCom 的团队位于中国境内,他们正在实现 Google 维护的 CT log(证书透明),但由于防火长城而遇到了一些问题。他们提出了一个解决方案,在进行测试时候签发了这些假的证书。

文章转载自 开源中国社区 [http://www.oschina.net]

相关文章
|
Web App开发 运维 安全
SSL/TLS证书1年有效期新规已至,被“证书过期”支配的恐惧又增加了!
9月1日起,两年期公共SSL/TLS证书正式告别了行业,在三大浏览器(Apple Safari、 Google Chrome、Mozilla Firefox)的推动下,SSL/TLS证书最长有效期变更为13个月,同时,全球各大证书权威签发机构已停止签发有效期超过1年(398天)的SSL证书。
SSL/TLS证书1年有效期新规已至,被“证书过期”支配的恐惧又增加了!
|
算法 索引
LeetCode每日1题--赎金信
LeetCode每日1题--赎金信
63 0
|
安全 数据安全/隐私保护
沃通SMIME电子邮件证书申请指南
沃通S/MIME电子邮件证书是全球信任的基础级(Class 1)电子邮件证书,遵循S/MIME安全电子邮件协议,实现电子邮件签名和加密,具有验证发件邮箱真实性、保护电子邮件内容机密性和完整性等功能,防止电子邮件信息泄露、内容篡改、发件方身份仿冒、钓鱼邮件等邮件安全风险
236 0
|
存储 安全 JavaScript
延期公告:OV代码签名证书私钥保护新规,延期至明年6月执行
今年6月发布的OV代码签名证书私钥保护新规,原定于2022 年11月15日开始执行,现确定将延期至2023年6月1日执行。
130 0
延期公告:OV代码签名证书私钥保护新规,延期至明年6月执行
|
安全
美法官批准微软请求 关闭277个恶意网站
2月26日消息,据《华尔街日报》报道称,微软要求关闭一些发布垃圾信息和有害计算机代码的网站的请求已经得到了法院的批准。弗吉尼亚州亚历山大市的一位联邦法官批准了微软提出的关闭277个互联网域名的请求。
806 0
|
Web App开发 安全
专家:警惕手机黑客冒充服务商骗取帐户信息
6月2日消息,大多数人觉得使用手机访问银行帐户的方式是比较安全的,但日前安全专家提醒用户,黑客可能会通过冒充服务商获取用户的机密信息,进而威胁用户的银行帐户安全。 据国外媒体报道,业内人士指出,虽然目前使用手机访问帐户的用户尚在少数,因此风险看上去还不是很大,但是值得注意的是,使用手机网络的用户正在迅速增加。
819 0