如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?

'Taking into account all the issues listed above, Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.'
docs.google.com/documen

Solidot | Mozilla表态将停止信任WoSign 和StartCom签发的新证书
Mozilla 公布了对沃通CA不当行为的13页调查报告,正式提议将停止信任 WoSign 和 StartCom 签发的新证书,最短期限为一年,一年之后如果 WoSign 和 StartCom 能满足条件 Mozilla 可以再次接纳它们。
调查报告称,沃通 CA 存在的部分问题不严重或不是它的过错,但还有部分问题极其严重,从信任角度看最严重的问题是故意倒填证书日期绕过浏览器对 SHA-1 证书的限制。由于 SHA-1 签名证书不再安全,主要浏览器开发商要求所有 CA 在 2016 年1月1日之后停止签发 SHA-1 证书,然而沃通 CA 在 2016年1月1日之后仍然签发了 SHA-1 证书,通过故意倒填日期,将这些证书伪装成是在 2016 年前签发的。另一个问题是 WoSign 收购 StartCom ,即使有充足的证据证明WoSign CA 已经100%收购 StartCom CA,公司 CEO 王高华仍然拒绝承认,直到最后 WoSign 的母公司奇虎 360 现身才予以承认,但王高华又坚称 StartCom 独立运营,其原始系统没有发生改变,然而有充分的技术证据证明 StartCom 在被收购一个半月后,它就开始使用 WoSign 的基础设施签发证书。StartCom 的网站 StartSSL.com 在 2015年12月18日关闭升级系统,到 12月22日重新开放时它就切换到了 WoSign 的系统。
相关问题:
如何看待中国沃通wosign偷偷收购自己的根CA startcom并且签发github.com的证书? - 信息安全
如何看待沃通证书销售发垃圾邮件黑Let's Encrypt? - SSL
默认排序 按时间排序

31 个回答

知乎用户 码畜~~~~
wayne 后端攻城师
Ivony编程话题优秀回答者 装配脑袋一路走好。
地铁风 不会撸程序的设计狮不是好科研狗
helloworlds 富有情怀并极具浪漫主义色彩的IT从业者
匿名用户
哈sea 看来需要把关于TOR的回答都备份一份到Dar…
知乎用户 猪厂
徐坡 打酱油的

加入知乎

与世界分享你的知识、经验和见解

验证码
已有帐号?
399 人关注该问题