Mozilla 將封殺沃通和 StartSSL 一年內新簽發的所有證書

這兩家 CA 試圖規避 SHA-1 停用政策

該問題主要是因為各大主要瀏覽器廠商共同決定從 2016 年 1 月 1 日開始就停止接受採用陳舊的 SHA-1 簽名演算法的證書。而 Mozilla 指責沃通今年還在簽發 SHA-1 簽名的證書，並將簽發日期倒填成去年 12 月份。

雖然 Mozilla 也允許一些其它的 CA 在 2016 年 1 月 1 日之後繼續簽發 SHA-1 證書，比如說賽門鐵克，但是他們僅允許那些通過了複雜的審批流程的 CA 這樣做，而顯然沃通沒有得到同意。

沃通秘密收購了 StartCom

此外，沃通似乎在否認其收購了以色列 CA 公司 StartCom。Mozilla 說，沃通已經於 2015 年 11 月 1 日百分百地收購了 StartCom。而另一方面，據奇虎 360 稱，它共計持有 84% 的沃通股份。但是這些信息沃通此前都予以否認或拒絕發表意見。

此外，在 Mozilla 披露的技術細節中顯示，StartCom 已經開始使用沃通的基礎架構來簽發新的證書了。而且，StartCom 也和沃通一樣在 2016 年採用了倒填日期的手段來簽發 SHA-1 證書。Mozilla 的安全工程師也展示了這種違例的案例細節。

Mozilla 的調查發現，一個和 GeoTrust CA 合作了多年的付費處理機構 Tyro 突然在 6 月中旬使用 StartCom 部署了一個 SHA-1 簽名的證書，而此前該機構從未和 StartCom 有過合作。該證書看起來是在 2015 年 12 月 20 日簽發的，而在同一個日期 StartCom 簽發大量的 SHA-1 證書。Mozlla 發現這些證書部署於 2016 年中，這很不正常，這顯然是採用倒填日期來規避 SHA-1 停用的策略。

這些問題以及其它的更多問題讓 Mozilla 決定在至少一年內不再信任沃通和 StartCom 的 SSL 證書。

或許會永久封殺

Mozilla 說這個臨時封殺僅針對這兩個公司最新簽發的證書，不影響已經分發給他們的客戶的證書。如果這兩個公司在一年的封殺後沒有通過一系列的檢查，Mozilla 將準備封殺這兩個公司的所有證書。

「許多人都在盯著 Web PKI 安全體系，如果發現了這樣的倒填（不管是什麼原因），Mozilla 會立即永久地取消對沃通和 StartCom 根證書的信任。」該報告中說。

此外，Chrome 和其它產品的對它們的封殺也在計劃中。「其它的瀏覽器廠商和根證書存儲運營者也會做出他們自己的決定，我們在這個文檔中擺出了這些信息，以便他們了解我們做出這個決定的原因，並可以據此做出他們的決定。」Mozilla 說。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive