沃通與StartCom憑證信用破產,遭Mozilla自信賴名單中剔除
Mozilla本周宣布,在經過一連串的調查後, 決定將中國憑證業者沃通(WoSign)自憑證信賴名單中剔除, 為期至少一年。
Mozilla總計調查了14項有關WoSign與StartCom在頒發憑證(CA)時所發生的意外事件, 結論直指WoSign故意違反規定, 因此不再信賴該機構所頒發的憑證。
根據調查, WoSign早在去年的11月1日買下以色列的憑證機構StartCom,取得百分之百的股份, 但並未公開揭露StartCom主導權的轉移, 且雖然StartCom號稱獨立營運, 卻已使用WoSign的憑證架構, 違反了Mozilla的CA憑證維護政策。
此外,WoSign還故意偽造憑證的頒發日期。 這是因為各家瀏覽器為確保安全已封鎖今年1月以後釋出的SHA- 1憑證, 然而Mozilla卻發現WoSign竄改今年頒發的SHA-1憑證,將憑證頒發日期改至去年。
至於WoSign的免費憑證服務亦包含兩大臭蟲, 一是當使用者證明了某個子網域的控制權時, WoSign憑證即可涵蓋主網域, 其次則是在驗證後還允許使用者新增任何的控制網域, 這也是為什麼WoSign在去年曾捅出一個大婁子— 把GitHub的憑證發給了一名學生。
中國憑證業者沃通?真不愧是黑心山寨國!什麼都是「信用破產」!