如何看待中国沃通wosign偷偷收购自己的根CA startcom并且签发github.com的证书?

关注者
544
被浏览
43,125

20 个回答

进一步根据事件发展更新:Mozilla 计划在近期停止信任 WoSign 以及 StartCom 签发的证书。结论草稿:docs.google.com/documen

WoSign 的 Final Report ,可以看出他们还是吸取了不少批评和意见(不一定是来自我这个回答的批评),至少在报告格式、语言和态度上有所改进:wosign.com/report/WoSig

更新:一份 WoSign 问题列表,来自 Mozilla Wiki ,实时更新:CA:WoSign Issues

王CEO之前说的很好,不要轻易把问题政治化;这个问题从技术和商业层面上有很多东西可以讨论,政治因素在我看来远没有这些问题的讨论价值高。

补充一下沃通刚刚公布的调查报告:wosign.com/report/wosig 有时间的朋友请一定看一遍,才能有直观的感受(看过你就明白为什么了……)。

看完之后,说实话我是挺害怕的。我不知道 CA 的技术水平和流程严谨应该有怎样的期待,但是报告所附的细节实在给我一种小作坊的感觉,令我难免有些担忧。

首先是这些已经被发现(目前已被修复)的漏洞本身:允许使用非80和443端口认证、只要认证子域名就可以签发根域名证书(或者按照报告的说法,可以通过某种方式在验证后添加额外的域名)、对 API 调用缺少验证导致接受签发和到期时间错位的证书请求。这三个漏洞本身都是非常可怕,甚至在我看来是一个 CA 绝对不能犯的低级错误。

更可怕的是公布的相关细节:比如端口问题,漏洞是为了解决“一些用户反应无法使用80和443端口进行验证”这一需求而引入的,看到那张手写的系统变更申请表,我真是感到后背发凉——验证系统这么重要的东西,说改就这么改了?(顺便有没有业内人士能来说说 CA 修改验证系统按流程规定是否需要公告?)可能影响就这么一句“暂无”带过了?整个流程两天时间就走完了,到底有没有做过论证调研?这个端口问题,同时具有敏感和漏洞利用相对容易、直接两大特性(一个称职的安全人员或者运维应该立刻能立刻引起警觉,继而马上想到在很多情况下非受信用户也能够控制高端口),这个变更就被这么放过了实在有些……再比如误发根域名证书的问题, Mozilla 的邮件说得有理有据:漏洞发现者做了两个例子( Github 和 ucf.edu ),报告了 Github 的那个例子给沃通,然后沃通修复并吊销了误发的 Github 根域名证书,结果同样类型的 ucf.edu 非法根域名证书却在一年之后仍然有效,以此为据在怀疑沃通的基本技术能力(犯下低级错误)之上,更怀疑其应对 incident 的能力(漏查同类型无效证书,未及时公告)。沃通在报告中花了很大篇幅辩解,称 Github 的非法根域名证书即使当事人不报告也会被人工检查发现,因为 Github 在他们的保护名单上(令我不解的是,即使人工审核多次发现误发 Github 的根域名证书,审核团队也以为只是“特殊情况”吊销完事而并没有提出 bug );而 ucf.edu 不在保护名单之中没能被发现,沃通在第一次接到漏洞发现者的报告后并没有清查数据库,而是在后来接到 Mozilla 的再次通告和指责后才行动,不仅如此,沃通反倒还在报告中指责漏洞发现者没有按照用户协议主动报告误发证书(即使报告了沃通多半也只是吊销该证书了事而不去彻查;这个实验的关键就是要看沃通能否及时发现并吊销同类型的其他非法证书)……

报告中所附的系统变更申请表

“又有出现”、“昨天有两个单”……到底要怎样才能引起警觉?是否有风险控制系统?

最后,虽然我很少对中国程序员的英语有什么微词(我一直觉得交流只要达意即可),但这次情况不同,是公司官方通信,而且 CA 是一个特殊的、基础性的技术工作,有其内在的、强制的国际性。——贵司是没有一个英语过六级(顺便能熟练使用 Word )的技术文书/秘书么?且不论王CEO在这样一个半正式的邮件列表讨论这么重要敏感的问题时,发言频见语病有时甚至到了影响意思表达的程度;这样一份“报告”竟然都要王CEO亲自上阵,结果弄成这样,我也只能夸王先生身先士卒、工作辛苦了……

另外关于沃通和 StartCom 的关系,起初沃通的根证书是由 StartCom 交叉签名的,一个新 CA 在成立时寻求其他 CA 交叉签名其根证书是个正常的打入市场的手段(浏览器厂商接受新 CA 的流程漫长),但这一行为也同时意味着 StartCom 为沃通背书,要承担相应的责任和风险(有时甚至是“连坐”的风险);如今沃通收购/入股 StartCom 也是合理合法(按照王CEO的说法他们也没有法律义务需要公开股权关系,但相应的,他也要承担此“隐秘行动”带来的可能的信任风险),因此使得浏览器厂商和公众将两者视为关系更紧密的一体也是自然而然的,王CEO声称两家公司“完全独立”多少有些一厢情愿。
这里可能有几点可以关注:
1-不同CA可以给同一个域名签发证书,而他们之间没有共享机制,于是有了公共证书透明日志的东西,google和comodo不是有公开的查询工具么
2-沃通不充分审核申请者对域名的拥有权就签发证书,是他们管理问题
3-沃通默认只要申请签发子域名证书,就连同根域名一起签发,这算买一送一吗
4-由于2-3甚至更多的问题导致github证书误签发,沃通的处理方式很原始粗放,不太像是个中国最大的证书签发机构还有的样子
5-中国企业有钱,只要价格谈得拢,有一天收购了verisign也可以啊,何况以色列那家公司。还有一个,偷偷收购自己根CA这种做法,好像有家很出名的美国安全公司也做了,这样会削弱它签发证书的可信度和权威性吧
6-有点不明白,这次误签发,发现者有可能从哪些方式实现了中间人攻击呢