安全 Mozilla, Google, Apple 都已决定不再信任 WoSign 和 StartCom
由于 WoSign(沃通)和 StartCom 存在的一系列技术和管理上的问题,Mozilla, Google, Apple 都已决定不再信任 WoSign 和 StarCom 新颁发的证书了。就差 Microsoft 没行动了,不过大势已定,Microsoft 怎么行动已经不太重要了。
各方的决定不尽相同:
- Mozilla: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
- Google: https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
- Apple: https://support.apple.com/en-us/HT204132
Mozilla:
- 从 Firefox 51(预计 2017-01-24 发布)开始,不再信任 WoSign 和 StartCom 2016 年 10 月 21 日 后颁发的证书。
- 不再信任之前已经查明的倒填日期的 SHA-1 证书。
- 要是再发现倒填日期,立即永久取消信任涉及到的根证书。倒是没说取消信任公司。
- 不再信任给 WoSign 做安全审计的安永会计师事务所(香港)的审计报告。
Google:
- 从 Chrome 56(预计 2017-01-31 发布)开始,不再信任 WoSign 和 StartCom 2016 年 10 月 21 日 后颁发的证书。
- 之前颁发的证书会信任,但不一定都信任,似乎是采用白名单策略。
- 如果 WoSign 和 StartCom 试图规避这些措施,立即完全取消信任
Apple:
- 取消信任 WoSign CA Free SSL Certificate G2 这一个中间证书。用其它根证书签发的免费证书、付费证书都不受影响。
- 2016-09-19 及之前签发的且记录到 Certificate Transparency log servers 的证书会继续信任
- 没对 StartCom 采取任何行动
总的来说,2016-09-19 之后签发的免费证书、2016-10-21 之后签发的所有证书都不会被信任,之前签发的也只有记录到了 Certficate Transparency 的才会被继续信任。
证书是否记录到了 Certficate Transparency 可以在 https://crt.sh/ 查询。
