Mozilla将封杀沃通和 StartSSL一年内新签发的所有证书

简介:

Firefox 浏览器背后的 Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。

Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令。

这两家 CA 试图规避 SHA-1 停用政策

该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算法的证书。而 Mozilla 指责沃通今年还在签发 SHA-1 签名的证书,并将签发日期倒填成去年 12 月份。

虽然 Mozilla 也允许一些其它的 CA 在 2016 年 1 月 1 日之后继续签发 SHA-1 证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的 CA 这样做,而显然沃通没有得到同意。

沃通秘密收购了 StartCom

此外,沃通似乎在否认其收购了以色列 CA 公司 StartCom。Mozilla 说,沃通已经于 2015 年 11 月 1 日百分百地收购了 StartCom。而另一方面,据奇虎 360 称,它共计持有 84% 的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。

此外,在 Mozilla 披露的技术细节中显示,StartCom 已经开始使用沃通的基础架构来签发新的证书了。而且,StartCom 也和沃通一样在 2016 年采用了倒填日期的手段来签发 SHA-1 证书。Mozilla 的安全工程师也展示了这种违例的案例细节。

Mozilla 的调查发现,一个和 GeoTrust CA 合作了多年的付费处理机构 Tyro 突然在 6 月中旬使用 StartCom 部署了一个 SHA-1 签名的证书,而此前该机构从未和 StartCom 有过合作。该证书看起来是在 2015 年 12 月 20 日签发的,而在同一个日期 StartCom 签发大量的 SHA-1 证书。Mozlla 发现这些证书部署于 2016 年中,这很不正常,这显然是采用倒填日期来规避 SHA-1 停用的策略。

这些问题以及其它的更多问题让 Mozilla 决定在至少一年内不再信任沃通和 StartCom 的 SSL 证书。

或许会永久封杀

Mozilla 说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla 将准备封杀这两个公司的所有证书。

“许多人都在盯着 Web PKI 安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla 会立即永久地取消对沃通和 StartCom 根证书的信任。”该报告中说。

此外,Chrome 和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla 说。

本文转自d1net(转载)

相关文章
|
13天前
|
算法 小程序 网络安全
阿里云WoSign SSL证书,RSA和国密有什么区别?_沃通SSL技术文档
阿里云WoSign品牌SSL证书为用户提供国密合规SM2算法SSL证书、全球信任RSA算法SSL证书,全球信任、国密合规,能够满足阿里云平台用户不同的SSL证书应用需求。那么阿里云WoSign SSL证书分别提供的RSA算法和国密算法,有什么区别呢?
566 6
|
13天前
|
Web App开发 算法 安全
什么是阿里云WoSign SSL证书?_沃通SSL技术文档
WoSign品牌SSL证书由阿里云平台SSL证书合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品。
1799 2
|
3月前
|
Ubuntu 应用服务中间件 网络安全
如何从商业证书颁发机构安装 SSL 证书
如何从商业证书颁发机构安装 SSL 证书
43 0
|
6月前
|
存储 弹性计算 运维
给多个用户颁发证书
【4月更文挑战第30天】
26 1
|
6月前
|
弹性计算 运维 安全
给一个用户颁发证书
【4月更文挑战第30天】
35 0
|
6月前
|
运维 安全 网络安全
Digicert 证书
DigiCert是全球领先的数字证书颁发机构,提供SSL/TLS、代码签名等多种证书服务,确保网络通信安全。其证书以高安全性、广泛兼容性及优质客户服务著称。DigiCert的EV SSL证书能严格验证网站身份,增强用户信任。通过代码签名,保证软件未经篡改。适用于商业网站和电商,提供高级安全保障。在网络安全日益重要的今天,DigiCert证书是值得信赖的选择,为数字化世界保驾护航。
140 0
|
安全 数据安全/隐私保护
沃通SMIME电子邮件证书申请指南
沃通S/MIME电子邮件证书是全球信任的基础级(Class 1)电子邮件证书,遵循S/MIME安全电子邮件协议,实现电子邮件签名和加密,具有验证发件邮箱真实性、保护电子邮件内容机密性和完整性等功能,防止电子邮件信息泄露、内容篡改、发件方身份仿冒、钓鱼邮件等邮件安全风险
225 0
|
人工智能 UED
adobe国际认证证书有用吗?
不吃学习的苦,就势必要吃生活的苦,千万不要想着走捷径,投机取巧可能会让你一时得意,但想要长久,打铁还需自身硬。
adobe国际认证证书有用吗?
adobe认证证书含金量
Adobe国际认证(以下简称:Adobe认证)是Adobe官方推出的认证体系,考试实测技能,行业认可度高。Adobe认证适用范围广泛,通过Adobe认证考试可增加职场机会,也能凭Adobe认证证书得到业界认可。
adobe认证证书含金量