谷歌也不信任沃通的證書了，StartCom CA 一併受到同等處罰

谷歌在其通告中說：

谷歌已經查明了沃通和 StartCom 這兩個 CA 沒有維持對其作為 CA 的高標準預期，因此根據我們的根證書策略，谷歌 Chrome 將不再信任它們。這個觀點類似於蘋果和 Mozilla 的根證書計劃發出的最近公告。

在 2016 年 8 月 17 日，谷歌接到了 GitHub 安全團隊的通告，稱沃通在沒有得到他們授權的情況下籤發了一個 GitHub 的證書。這促使 GitHub 安全團隊和 Mozilla 合作對沃通進行了調查，發現了沃通的若干違規簽發證書的問題。該調查表明沃通有意地規避了瀏覽器限制（即對 SHA-1 簽名證書的失效計劃）和對 CA 的要求。更進一步的，還發現了另外一家 CA 公司 StartCom 也被沃通秘密收購，這違反了對 CA 公司被收購需要披露信息的要求。而且，沃通公司還替換了原 StartCom 的基礎設施、人員、政策和簽發系統。面對這種情況，沃通和 StartCom 管理層還嘗試誤導社區這兩個公司之間的收購事實和關係。

谷歌於 10 月 31 日發布了 Chrome 56 的 Dev 渠道版本。谷歌決定從該版本的 Chrome 開始，不再信任沃通和 StartCom 於 2016 年 10 月 21 日之後簽發的證書。在這個日期之前簽發的證書依舊信任，但是之後，除非他們遵循 Chrome 的證書透明策略，將只能對其已有客戶的域名簽發。按照計劃，Chrome 56 將於 2017 年 1 月正式發布穩定版，因此在此之前，使用這兩個 CA 所簽發證書的網站應該儘快遷移到其它被 Chrome 信任的 CA 所簽發的證書下。

沃通和 StartCom 的客戶會發現他們的證書在 Chrome 56 中不再有效。並且，更嚴厲的是，谷歌還說：

在接下來的 Chrome 版本中，還會進一步減少對這兩個 CA 簽發的證書的支持，直到最終完全移除對這兩個 CA 的信任！

並且稱：

沃通和 StartCom 的任何試圖規避處罰的做法都將導致這兩個 CA 被馬上全部移除！

沃通的證書在國內使用比較多，而 StartCom 的 StartSSL 證書則在全球範圍內有廣泛的使用，尤其是它的免費證書有很多個人網站在使用。鑒於 Chrome 在瀏覽器市場上已經佔據了一半左右的份額，因此其帶來的影響將是毀滅性的。

目前，主流瀏覽器裡面，Mozilla 的 Firefox 、蘋果的 Safari 和谷歌的 Chrome 都已經做出了相應的反應，但是我們目前還沒見到微軟對此的跟進和表態。似乎微軟在 CA 策略方面一向比較散漫，因此，IE 和 Edge 瀏覽器的反應或許還需要一段時間，抑或不會採取措施。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive