Mozilla 做出不再信任沃通 CA 的決定，沃通回應打一折

Mozilla 對沃通（WoSign）的處罰終於落定。

前一段時間，Mozilla 就沃通 CA 違規的問題，於 8 月 24 日發起了針對沃通 CA 的調查，並發布了一個問題列表。之後在 10 月 5 日， Mozilla、奇虎 360 、StartCom 和沃通在倫敦舉行了閉門商談，討論下一步行動。

10 月 20 日，Mozilla 公布了對沃通 CA 的最終處理意見：

• 它不再信任在 10 月 21 日之後簽發的沃通 CA 證書
• 從 Firefox 51 （預計將在 2017 年 1 月 23 日發布）起，移除之前預置的 4 個沃通根證書：
  1. CN=CA 沃通根證書, OU=null, O=WoSign CA Limited, C=CN
  2. CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN
  3. CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
  4. CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN

但是從這 4 個根證書籤發的所有代碼簽名證書、客戶端證書、簽名平台（WoSignDoc）均不受任何影響。10 月 21 日（包括 21 日）之前簽發的所有 SSL 證書也都不受任何影響，都能正常被 Mozilla 的火狐瀏覽器信任。

預計 Mozilla 的這一決定也有可能被其它主流瀏覽器所接納。

此外，Mozilla 提出了六點操作要求：

1. 提供實施整改計劃列表，確保將來不會違例 Mozilla 的 CA 證書策略和 CA/Browser 論壇的基準要求。
2. 實施整改，並更新其 CP/CPS 來完整描述其改進過程。CP/CPS 必須明確申明禁止倒填超過一天前的證書。
3. 對所做的整改，提供來自 Mozilla 所認可的 WebTrust 鑒證機構的面向公眾的認證。該審計可能需要作為年度 WebTrust CA 審計的一部分。
4. 提供審計認證，對全部業務進行審計，確認合規 CA/Browser 論壇的基準要求。該審計可能需要作為年度 WebTrust CA 審計的一部分。
5. 提供審計認證，對 CA 的簽發基礎設施可以順利完成執行完整的安全審計。
6. 所有簽發的證書 100% 嵌入證書透明度（CT）信息，嵌入的 SCT 至少有一條來自谷歌，一條來自谷歌之外。

2017 年 6 月 1 日後，在滿足 Mozilla 提出的上述 6 點操作要求後，沃通 CA 可以重新走正常申請 Mozilla 根認證流程，重新申請新的根證書預置。

沃通對此表示遺憾， 並宣布：

1. 將更新數字證書商店Buy網站，從10月22日起，所有從沃通4個根證書下籤發的所有收費SSL證書全部一折銷售；免費SSL證書繼續停止開放；
2. 將增加一個產品選項，用戶可以選購從新的沃通（WoSign）中級根證書下籤發的支持所有瀏覽器（包括火狐瀏覽器）的SSL證書，在過渡期八折優惠。此中級根證書將由全球信任的其他CA根證書籤發，支持所有瀏覽器和所有新老終端設備。此項產品升級計劃一個月內完成並為廣大用戶提供證書服務；
3. 將積極按照Mozilla提出的6點要求進行操作，爭取在2017年6月1日之後，儘快完成新根證書在各個瀏覽器系統的預置工作；
4. 已經並繼續對所有系統進行全面的安全審計並加固升級改造，同時完善各種內控管理制度，組建國際標準研究團隊和內審團隊，確保所有系統100%符合國際標準，所有業務操作嚴格按照國際標準要求操作，加強員工嚴格按照標準操作的執行力度，違者將受到嚴厲懲處。

（題圖來自：deviantart.net）

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive