Linux中國
Mozilla 做出不再信任沃通 CA 的決定,沃通回應打一折
前一段時間,Mozilla 就沃通 CA 違規的問題,於 8 月 24 日發起了針對沃通 CA 的調查,並發布了一個問題列表。之後在 10 月 5 日, Mozilla、奇虎 360 、StartCom 和沃通在倫敦舉行了閉門商談,討論下一步行動。
10 月 20 日,Mozilla 公布了對沃通 CA 的最終處理意見:
- 它不再信任在 10 月 21 日之後簽發的沃通 CA 證書
- 從 Firefox 51 (預計將在 2017 年 1 月 23 日發布)起,移除之前預置的 4 個沃通根證書:
- CN=CA 沃通根證書, OU=null, O=WoSign CA Limited, C=CN
- CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN
- CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
- CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN
但是從這 4 個根證書籤發的所有代碼簽名證書、客戶端證書、簽名平台(WoSignDoc)均不受任何影響。10 月 21 日(包括 21 日)之前簽發的所有 SSL 證書也都不受任何影響,都能正常被 Mozilla 的火狐瀏覽器信任。
預計 Mozilla 的這一決定也有可能被其它主流瀏覽器所接納。
此外,Mozilla 提出了六點操作要求:
- 提供實施整改計劃列表,確保將來不會違例 Mozilla 的 CA 證書策略和 CA/Browser 論壇的基準要求。
- 實施整改,並更新其 CP/CPS 來完整描述其改進過程。CP/CPS 必須明確申明禁止倒填超過一天前的證書。
- 對所做的整改,提供來自 Mozilla 所認可的 WebTrust 鑒證機構的面向公眾的認證。該審計可能需要作為年度 WebTrust CA 審計的一部分。
- 提供審計認證,對全部業務進行審計,確認合規 CA/Browser 論壇的基準要求。該審計可能需要作為年度 WebTrust CA 審計的一部分。
- 提供審計認證,對 CA 的簽發基礎設施可以順利完成執行完整的安全審計。
- 所有簽發的證書 100% 嵌入證書透明度(CT)信息,嵌入的 SCT 至少有一條來自谷歌,一條來自谷歌之外。
2017 年 6 月 1 日後,在滿足 Mozilla 提出的上述 6 點操作要求後,沃通 CA 可以重新走正常申請 Mozilla 根認證流程,重新申請新的根證書預置。
沃通對此表示遺憾, 並宣布:
- 將更新數字證書商店Buy網站,從10月22日起,所有從沃通4個根證書下籤發的所有收費SSL證書全部一折銷售;免費SSL證書繼續停止開放;
- 將增加一個產品選項,用戶可以選購從新的沃通(WoSign)中級根證書下籤發的支持所有瀏覽器(包括火狐瀏覽器)的SSL證書,在過渡期八折優惠。此中級根證書將由全球信任的其他CA根證書籤發,支持所有瀏覽器和所有新老終端設備。此項產品升級計劃一個月內完成並為廣大用戶提供證書服務;
- 將積極按照Mozilla提出的6點要求進行操作,爭取在2017年6月1日之後,儘快完成新根證書在各個瀏覽器系統的預置工作;
- 已經並繼續對所有系統進行全面的安全審計並加固升級改造,同時完善各種內控管理制度,組建國際標準研究團隊和內審團隊,確保所有系統100%符合國際標準,所有業務操作嚴格按照國際標準要求操作,加強員工嚴格按照標準操作的執行力度,違者將受到嚴厲懲處。
(題圖來自:deviantart.net)
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive
對這篇文章感覺如何?
太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
More in:Linux中國
如何通過 VLC 使用字幕
使用 VLC 媒體播放器播放和管理字幕的新手指南。
Unix 桌面:在 Linux 問世之前
僅僅開源還不足以實現開放,還需開放標準和建立共識。
Valve 對於 Ubuntu 的 Snap 版本的 Steam 並不滿意:原因何在
你可能會發現,Snap 版本的 Steam 並不如你期待的那樣好,你怎麼看?
Wine 9.0 發布,實驗性地加入了 Wayland 驅動
Wine 的這個新版本正在為未來做好準備!