中國憑證業者沃通與StartCom憑證信用破產,遭Mozilla自信賴名單中剔除

沃通與StartCom憑證信用破產,遭Mozilla自信賴名單中剔除

Mozilla本周宣布,在經過一連串的調查後, 決定將中國憑證業者沃通(WoSign)自憑證信賴名單中剔除, 為期至少一年。

Mozilla總計調查了14項有關WoSign與StartCom在頒發憑證(CA)時所發生的意外事件, 結論直指WoSign故意違反規定, 因此不再信賴該機構所頒發的憑證。

根據調查, WoSign早在去年的11月1日買下以色列的憑證機構StartCom,取得百分之百的股份, 但並未公開揭露StartCom主導權的轉移, 且雖然StartCom號稱獨立營運, 卻已使用WoSign的憑證架構, 違反了Mozilla的CA憑證維護政策。

此外,WoSign還故意偽造憑證的頒發日期。 這是因為各家瀏覽器為確保安全已封鎖今年1月以後釋出的SHA- 1憑證, 然而Mozilla卻發現WoSign竄改今年頒發的SHA-1憑證,將憑證頒發日期改至去年。

至於WoSign的免費憑證服務亦包含兩大臭蟲, 一是當使用者證明了某個子網域的控制權時, WoSign憑證即可涵蓋主網域, 其次則是在驗證後還允許使用者新增任何的控制網域, 這也是為什麼WoSign在去年曾捅出一個大婁子— 把GitHub的憑證發給了一名學生。


中國憑證業者沃通?think真不愧是黑心山寨國!什麼都是「信用破產」!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Mozilla之後,蘋果也封鎖沃通憑證

蘋果說明,沃通的免費中間憑證(WoSign CA Free SSL Certificate G2 intermediate CA)發行程序出現了多起控管問題,雖然蘋果可信賴的根憑證名單中並無沃通,但沃通藉由與StartCom及Comodo的互簽憑證關係,使它的中間憑證出現在蘋果產品的可信賴名單中。

在沃通憑證發行程序出現缺失後,蘋果決定採取行動來保護使用者,計畫在下一次的安全更新中,移除蘋果產品對沃通免費中間憑證的信賴。

針對沃通憑證展開調查的是Mozilla,Mozilla發現沃通隱暪與StartCom的從屬關係、偽造憑證的發行日期,再加上其免費憑證服務含有可嵌入任何網域的臭蟲,讓Mozilla決 定自信賴名單中移除沃通憑證,且至少維持一年。

目前蘋果的封鎖行動僅限macOS或OS X,且放行於今年9月19日以前發行的中間憑證,是否擴大至其他蘋果產品則視未來的調查而定。下一次的蘋果安全更新預計於10月的第二周展開。


至少維持一年?think山寨國應該是「至少維持1000年」才對!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

繼Mozilla、蘋果之後,Google也將封鎖沃通與StarCom憑證

Google將跟隨Mozilla蘋果的腳步,周一(10/31)宣布明年1月釋出的Chrome 56也將封鎖由沃通(WoSign)及StartCom等兩家憑證機構所發行的憑證。

負責Chrome安全性的Andrew Whalley說明,負責發行數位憑證的憑證機構(CA)在網路安全上扮演著重要的角色,瀏覽器信賴這些憑證以確保網站的安全連結,假設CA未遵守瀏覽器與產業組織的規範,那麼每位網路使用者的隱私與安全都會受到威脅。

沃通及StartCom遭到調查的原因來自於今年8月Google收到GitHub安全團隊的通知,指出沃通在未獲得GitHub授權的情況下發行了一個屬於GitHub網域的憑證,這使得Google、Mozilla及安全社群聯手展開調查,並發現沃通多起的憑證誤發狀況。

相關調查顯示沃通為了繞過瀏覽器的限制與對CA的要求,故意誤發憑證,再加上沃通隱暪與已併購的另一憑證機構StartCom的相依關係,種種因素讓Mozila、蘋果,以及現在的Google認定沃通與StartCom已不符合可靠CA的標準。

因此,Google決定,自明年1月釋出的Chrome 56即會封鎖由沃通與StartCom在今年10月21日之後所發行的憑證,但仍信任這兩家CA先前發行的憑證。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
Forums  ›  新聞話題  ›  中國