Mozilla 將封殺沃通和 StartSSL 一年內新簽發的所有證書
這兩家 CA 試圖規避 SHA-1 停用政策
該問題主要是因為各大主要瀏覽器廠商共同決定從 2016 年 1 月 1 日開始就停止接受採用陳舊的 SHA-1 簽名演算法的證書。而 Mozilla 指責沃通今年還在簽發 SHA-1 簽名的證書,並將簽發日期倒填成去年 12 月份。
雖然 Mozilla 也允許一些其它的 CA 在 2016 年 1 月 1 日之後繼續簽發 SHA-1 證書,比如說賽門鐵克,但是他們僅允許那些通過了複雜的審批流程的 CA 這樣做,而顯然沃通沒有得到同意。
沃通秘密收購了 StartCom
此外,沃通似乎在否認其收購了以色列 CA 公司 StartCom。Mozilla 說,沃通已經於 2015 年 11 月 1 日百分百地收購了 StartCom。而另一方面,據奇虎 360 稱,它共計持有 84% 的沃通股份。但是這些信息沃通此前都予以否認或拒絕發表意見。
此外,在 Mozilla 披露的技術細節中顯示,StartCom 已經開始使用沃通的基礎架構來簽發新的證書了。而且,StartCom 也和沃通一樣在 2016 年採用了倒填日期的手段來簽發 SHA-1 證書。Mozilla 的安全工程師也展示了這種違例的案例細節。
Mozilla 的調查發現,一個和 GeoTrust CA 合作了多年的付費處理機構 Tyro 突然在 6 月中旬使用 StartCom 部署了一個 SHA-1 簽名的證書,而此前該機構從未和 StartCom 有過合作。該證書看起來是在 2015 年 12 月 20 日簽發的,而在同一個日期 StartCom 簽發大量的 SHA-1 證書。Mozlla 發現這些證書部署於 2016 年中,這很不正常,這顯然是採用倒填日期來規避 SHA-1 停用的策略。
這些問題以及其它的更多問題讓 Mozilla 決定在至少一年內不再信任沃通和 StartCom 的 SSL 證書。
或許會永久封殺
Mozilla 說這個臨時封殺僅針對這兩個公司最新簽發的證書,不影響已經分發給他們的客戶的證書。如果這兩個公司在一年的封殺後沒有通過一系列的檢查,Mozilla 將準備封殺這兩個公司的所有證書。
「許多人都在盯著 Web PKI 安全體系,如果發現了這樣的倒填(不管是什麼原因),Mozilla 會立即永久地取消對沃通和 StartCom 根證書的信任。」該報告中說。
此外,Chrome 和其它產品的對它們的封殺也在計劃中。「其它的瀏覽器廠商和根證書存儲運營者也會做出他們自己的決定,我們在這個文檔中擺出了這些信息,以便他們了解我們做出這個決定的原因,並可以據此做出他們的決定。」Mozilla 說。
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive