安全 Mozilla, Google, Apple 都已决定不再信任 WoSign 和 StartCom

bianjp · November 01, 2016 · Last by bianjp replied at November 02, 2016 · 7765 hits

由于 WoSign(沃通)和 StartCom 存在的一系列技术和管理上的问题,Mozilla, Google, Apple 都已决定不再信任 WoSign 和 StarCom 新颁发的证书了。就差 Microsoft 没行动了,不过大势已定,Microsoft 怎么行动已经不太重要了。

各方的决定不尽相同:

Mozilla:

  • 从 Firefox 51(预计 2017-01-24 发布)开始,不再信任 WoSign 和 StartCom 2016 年 10 月 21 日 后颁发的证书。
  • 不再信任之前已经查明的倒填日期的 SHA-1 证书。
  • 要是再发现倒填日期,立即永久取消信任涉及到的根证书。倒是没说取消信任公司。
  • 不再信任给 WoSign 做安全审计的安永会计师事务所(香港)的审计报告。

Google:

  • 从 Chrome 56(预计 2017-01-31 发布)开始,不再信任 WoSign 和 StartCom 2016 年 10 月 21 日 后颁发的证书。
  • 之前颁发的证书会信任,但不一定都信任,似乎是采用白名单策略
  • 如果 WoSign 和 StartCom 试图规避这些措施,立即完全取消信任

Apple:

  • 取消信任 WoSign CA Free SSL Certificate G2 这一个中间证书。用其它根证书签发的免费证书、付费证书都不受影响。
  • 2016-09-19 及之前签发的且记录到 Certificate Transparency log servers 的证书会继续信任
  • 没对 StartCom 采取任何行动

总的来说,2016-09-19 之后签发的免费证书、2016-10-21 之后签发的所有证书都不会被信任,之前签发的也只有记录到了 Certficate Transparency 的才会被继续信任。

证书是否记录到了 Certficate Transparency 可以在 https://crt.sh/ 查询。

好,支持,威武,有希望了!

蛤,蛤,蛤

Google 和 Let's Encrypt 要一决雌雄😂

Let's Encrypt 的开销挺大,目前正在众筹,有能力的朋友建议支持一下。

You need to Sign in before reply, if you don't have an account, please Sign up first.