Linux中國

Mozilla 做出不再信任沃通 CA 的決定,沃通回應打一折

Mozilla沃通(WoSign)的處罰終於落定。

前一段時間,Mozilla沃通 CA 違規的問題,於 8 月 24 日發起了針對沃通 CA 的調查,並發布了一個問題列表。之後在 10 月 5 日, Mozilla、奇虎 360 、StartCom 和沃通在倫敦舉行了閉門商談,討論下一步行動。

10 月 20 日,Mozilla 公布了對沃通 CA 的最終處理意見

  • 它不再信任在 10 月 21 日之後簽發的沃通 CA 證書
  • 從 Firefox 51 (預計將在 2017 年 1 月 23 日發布)起,移除之前預置的 4 個沃通根證書:
    1. CN=CA 沃通根證書, OU=null, O=WoSign CA Limited, C=CN
    2. CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN
    3. CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
    4. CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN

但是從這 4 個根證書籤發的所有代碼簽名證書、客戶端證書、簽名平台(WoSignDoc)均不受任何影響。10 月 21 日(包括 21 日)之前簽發的所有 SSL 證書也都不受任何影響,都能正常被 Mozilla 的火狐瀏覽器信任。

預計 Mozilla 的這一決定也有可能被其它主流瀏覽器所接納。

此外,Mozilla 提出了六點操作要求:

  1. 提供實施整改計劃列表,確保將來不會違例 Mozilla 的 CA 證書策略和 CA/Browser 論壇的基準要求。
  2. 實施整改,並更新其 CP/CPS 來完整描述其改進過程。CP/CPS 必須明確申明禁止倒填超過一天前的證書。
  3. 對所做的整改,提供來自 Mozilla 所認可的 WebTrust 鑒證機構的面向公眾的認證。該審計可能需要作為年度 WebTrust CA 審計的一部分。
  4. 提供審計認證,對全部業務進行審計,確認合規 CA/Browser 論壇的基準要求。該審計可能需要作為年度 WebTrust CA 審計的一部分。
  5. 提供審計認證,對 CA 的簽發基礎設施可以順利完成執行完整的安全審計。
  6. 所有簽發的證書 100% 嵌入證書透明度(CT)信息,嵌入的 SCT 至少有一條來自谷歌,一條來自谷歌之外。

2017 年 6 月 1 日後,在滿足 Mozilla 提出的上述 6 點操作要求後,沃通 CA 可以重新走正常申請 Mozilla 根認證流程,重新申請新的根證書預置。

沃通對此表示遺憾, 並宣布:

  1. 將更新數字證書商店Buy網站,從10月22日起,所有從沃通4個根證書下籤發的所有收費SSL證書全部一折銷售;免費SSL證書繼續停止開放;
  2. 將增加一個產品選項,用戶可以選購從新的沃通(WoSign)中級根證書下籤發的支持所有瀏覽器(包括火狐瀏覽器)的SSL證書,在過渡期八折優惠。此中級根證書將由全球信任的其他CA根證書籤發,支持所有瀏覽器和所有新老終端設備。此項產品升級計劃一個月內完成並為廣大用戶提供證書服務;
  3. 將積極按照Mozilla提出的6點要求進行操作,爭取在2017年6月1日之後,儘快完成新根證書在各個瀏覽器系統的預置工作;
  4. 已經並繼續對所有系統進行全面的安全審計並加固升級改造,同時完善各種內控管理制度,組建國際標準研究團隊和內審團隊,確保所有系統100%符合國際標準,所有業務操作嚴格按照國際標準要求操作,加強員工嚴格按照標準操作的執行力度,違者將受到嚴厲懲處。

(題圖來自:deviantart.net


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國