谷歌也不信任沃通的證書了,StartCom CA 一併受到同等處罰
谷歌在其通告中說:
谷歌已經查明了沃通和 StartCom 這兩個 CA 沒有維持對其作為 CA 的高標準預期,因此根據我們的根證書策略,谷歌 Chrome 將不再信任它們。這個觀點類似於蘋果和 Mozilla 的根證書計劃發出的最近公告。
在 2016 年 8 月 17 日,谷歌接到了 GitHub 安全團隊的通告,稱沃通在沒有得到他們授權的情況下籤發了一個 GitHub 的證書。這促使 GitHub 安全團隊和 Mozilla 合作對沃通進行了調查,發現了沃通的若干違規簽發證書的問題。該調查表明沃通有意地規避了瀏覽器限制(即對 SHA-1 簽名證書的失效計劃)和對 CA 的要求。更進一步的,還發現了另外一家 CA 公司 StartCom 也被沃通秘密收購,這違反了對 CA 公司被收購需要披露信息的要求。而且,沃通公司還替換了原 StartCom 的基礎設施、人員、政策和簽發系統。面對這種情況,沃通和 StartCom 管理層還嘗試誤導社區這兩個公司之間的收購事實和關係。
谷歌於 10 月 31 日發布了 Chrome 56 的 Dev 渠道版本。谷歌決定從該版本的 Chrome 開始,不再信任沃通和 StartCom 於 2016 年 10 月 21 日之後簽發的證書。在這個日期之前簽發的證書依舊信任,但是之後,除非他們遵循 Chrome 的證書透明策略,將只能對其已有客戶的域名簽發。按照計劃,Chrome 56 將於 2017 年 1 月正式發布穩定版,因此在此之前,使用這兩個 CA 所簽發證書的網站應該儘快遷移到其它被 Chrome 信任的 CA 所簽發的證書下。
沃通和 StartCom 的客戶會發現他們的證書在 Chrome 56 中不再有效。並且,更嚴厲的是,谷歌還說:
在接下來的 Chrome 版本中,還會進一步減少對這兩個 CA 簽發的證書的支持,直到最終完全移除對這兩個 CA 的信任!
並且稱:
沃通和 StartCom 的任何試圖規避處罰的做法都將導致這兩個 CA 被馬上全部移除!
沃通的證書在國內使用比較多,而 StartCom 的 StartSSL 證書則在全球範圍內有廣泛的使用,尤其是它的免費證書有很多個人網站在使用。鑒於 Chrome 在瀏覽器市場上已經佔據了一半左右的份額,因此其帶來的影響將是毀滅性的。
目前,主流瀏覽器裡面,Mozilla 的 Firefox 、蘋果的 Safari 和谷歌的 Chrome 都已經做出了相應的反應,但是我們目前還沒見到微軟對此的跟進和表態。似乎微軟在 CA 策略方面一向比較散漫,因此,IE 和 Edge 瀏覽器的反應或許還需要一段時間,抑或不會採取措施。
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive