沃通與StartCom憑證信用破產，遭Mozilla自信賴名單中剔除

Mozilla本周宣布，在經過一連串的調查後， 決定將中國憑證業者沃通（WoSign）自憑證信賴名單中剔除， 為期至少一年。

Mozilla總計調查了14項有關WoSign與StartCom在頒發憑證（CA）時所發生的意外事件， 結論直指WoSign故意違反規定， 因此不再信賴該機構所頒發的憑證。

根據調查， WoSign早在去年的11月1日買下以色列的憑證機構StartCom，取得百分之百的股份， 但並未公開揭露StartCom主導權的轉移， 且雖然StartCom號稱獨立營運， 卻已使用WoSign的憑證架構， 違反了Mozilla的CA憑證維護政策。

此外，WoSign還故意偽造憑證的頒發日期。 這是因為各家瀏覽器為確保安全已封鎖今年1月以後釋出的SHA- 1憑證， 然而Mozilla卻發現WoSign竄改今年頒發的SHA-1憑證，將憑證頒發日期改至去年。

至於WoSign的免費憑證服務亦包含兩大臭蟲， 一是當使用者證明了某個子網域的控制權時， WoSign憑證即可涵蓋主網域， 其次則是在驗證後還允許使用者新增任何的控制網域， 這也是為什麼WoSign在去年曾捅出一個大婁子— 把GitHub的憑證發給了一名學生。

中國憑證業者沃通？真不愧是黑心山寨國！什麼都是「信用破產」！

Mozilla之後，蘋果也封鎖沃通憑證

蘋果說明，沃通的免費中間憑證（WoSign CA Free SSL Certificate G2 intermediate CA）發行程序出現了多起控管問題，雖然蘋果可信賴的根憑證名單中並無沃通，但沃通藉由與StartCom及Comodo的互簽憑證關係，使它的中間憑證出現在蘋果產品的可信賴名單中。

在沃通憑證發行程序出現缺失後，蘋果決定採取行動來保護使用者，計畫在下一次的安全更新中，移除蘋果產品對沃通免費中間憑證的信賴。

針對沃通憑證展開調查的是Mozilla，Mozilla發現沃通隱暪與StartCom的從屬關係、偽造憑證的發行日期，再加上其免費憑證服務含有可嵌入任何網域的臭蟲，讓Mozilla決 定自信賴名單中移除沃通憑證，且至少維持一年。

目前蘋果的封鎖行動僅限macOS或OS X，且放行於今年9月19日以前發行的中間憑證，是否擴大至其他蘋果產品則視未來的調查而定。下一次的蘋果安全更新預計於10月的第二周展開。

至少維持一年？山寨國應該是「至少維持1000年」才對！

繼Mozilla、蘋果之後，Google也將封鎖沃通與StarCom憑證

Google將跟隨Mozilla與蘋果的腳步，周一（10/31）宣布明年1月釋出的Chrome 56也將封鎖由沃通（WoSign）及StartCom等兩家憑證機構所發行的憑證。

負責Chrome安全性的Andrew Whalley說明，負責發行數位憑證的憑證機構（CA）在網路安全上扮演著重要的角色，瀏覽器信賴這些憑證以確保網站的安全連結，假設CA未遵守瀏覽器與產業組織的規範，那麼每位網路使用者的隱私與安全都會受到威脅。

沃通及StartCom遭到調查的原因來自於今年8月Google收到GitHub安全團隊的通知，指出沃通在未獲得GitHub授權的情況下發行了一個屬於GitHub網域的憑證，這使得Google、Mozilla及安全社群聯手展開調查，並發現沃通多起的憑證誤發狀況。

相關調查顯示沃通為了繞過瀏覽器的限制與對CA的要求，故意誤發憑證，再加上沃通隱暪與已併購的另一憑證機構StartCom的相依關係，種種因素讓Mozila、蘋果，以及現在的Google認定沃通與StartCom已不符合可靠CA的標準。

因此，Google決定，自明年1月釋出的Chrome 56即會封鎖由沃通與StartCom在今年10月21日之後所發行的憑證，但仍信任這兩家CA先前發行的憑證。