近日,有网友在 Google group 上发帖称,发现 StartCom 签发了几个明显的假证书:
https://crt.sh/?id=146437565
Subject:
commonName = ov
organizationName = test
localityName = Beijing
stateOrProvinceName = Beijing
countryName = Beijing
serialNumber = 123456
X509v3 Subject Alternative Name:
DNS:www.test.cn
https://crt.sh/?id=146484676
Subject:
commonName = iv
givenName = Jeremy
surname = Liao
localityName = Beijing
stateOrProvinceName = Beijing
countryName = CN
X509v3 Subject Alternative Name:
DNS:www.test.cn
https://crt.sh/?id=146517428
Subject:
commonName = ov
organizationName = test
localityName = Beijing
stateOrProvinceName = Beijing
countryName = Beijing
serialNumber = 123456
X509v3 Subject Alternative Name:
DNS:www.test.cn
奇虎 360 旗下的 StartCom 之前已经被大部分浏览器取消信任,但现在又签发了假的证书,包括最高信任级别的 EV 证书。该网友表示,这些证书在主流浏览器上将不被接受,但是由于他们的根证书仍然在 NSS 信任存储中,所以对于这种明显的违规行为还是值得探究的。
对此,StartCom CEO Iñigo Barreira 回应称,他们是为了测试而签发了假的证书,证书已被立即撤销。他随后进一步解释说,StartCom 的团队位于中国境内,他们正在实现 Google 维护的 CT log(证书透明),但由于防火长城而遇到了一些问题。他们提出了一个解决方案,在进行测试时候签发了这些假的证书。
文章转载自 开源中国社区 [http://www.oschina.net]