沃通和StartCom颁发的证书不再被信任

GitHub安全团队称沃通在没有得到他们授权的情况下签发了一个GitHub的证书。这促使GitHub安全团队和Mozilla合作对沃通进行了调查,发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制(即对SHA-1 签名证书的失效计划)和对CA的要求。更进一步的,还发现了另外一家CA公司StartCom也被沃通秘密收购,这违反了CA公司被收购需要披露信息的要求。而且,沃通公司还替换了原StartCom的基础设施、人员、政策和签发系统。面对这种情况,沃通和StartCom管理层还尝试误导,这两个公司之间的收购事实。

liJ8yGOwGJQdQ.png

目前,主流浏览器里面,Mozilla的Firefox 、苹果的Safari和谷歌的Chrome都已经做出了相应的反应,从 Chrome 56版本开始,不再信任沃通和 StartCom 于 2016 年 10 月 21 日之后签发的证书。在这个日期之前签发的证书依旧信任。这次惩罚是浏览器直接无法访问,用户不能选择忽略。使用这两个CA 所签发证书的网站应该尽快迁移到其它被信任的CA所签发的证书下。

受影响网站:

权威机构分析,中国互联网共有2971个网站受到影响。

浏览器拦截截图:

Chrome:

chrome.jpg

Safari:

safari.jpg

Firefox:

firefox.jpg

浏览器官方通告:

Chrome:https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

Firefox:https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Safari:https://support.apple.com/en-ca/HT204132

相关新闻