Mozilla正在讨论是否需要吊销多次出现安全问题的中国CA机构Wosign

在错综复杂的全球互联网中HTTPS已经成为保证用户数据安全的必备措施之一。

然而如果作为HTTPS基础内容的SSL证书也容易出现问题那么互联网的安全性将大大降低。

日前在Mozilla安全邮件列表上已经有开发者正在讨论有关中国CA机构Wosign的安全事故问题。

在2015年4月至2016年7月Wosign已经被发现了三起安全事故，这凸显了Wosign在验证流程上存在的问题。

第一起是2015年4月份时Wosign被发现允许申请免费SSL证书的用户使用任意端口进行验证，其违反了限制端口和路径的使用规定。

第二起是2015年6月份时Wosign被发现允许申请者通过验证子域名控制权的方式获得主域名的控制权。

例如在Github上获得了二级域名并前往Wosign申请免费证书时通过了验证，然而让人意想不到的是除了该二级域名的证书会得到批准外Github.com主域名竟然也可以获得SSL证书。

一旦有人利用Wosign的这个漏洞申请对应网站的证书则可以用来劫持用户访问并且浏览器不会提示安全问题。

第三起是今年7月份与Wosign有关联的CA机构StartCom被发现允许证书倒着填写日期，倒着填写日期则可以绕过浏览器对SHA-1算法的限制（由于SHA-1算法的安全性问题现在多个浏览器已经不再支持SHA-1证书）。

Mozilla目前已经考虑对Wosign采取进一步的行动，包括直接吊销Wosign的证书------这将影响大量使用Wosign签发证书的网站。

相关事件：

2015年3月份时Google发现埃及中级CA机构MCS伪造了Gmail的SSL证书，伪造的证书用来监控MCS雇员的通讯以及其他目的。

Google在发现后立即吊销了MCS的CA证书，并且将MCS证书的上一级颁发者CNNIC根证书一并吊销了。

尽管后来 CNNIC 宣称对 MCS 伪造 Google 旗下产品证书的事件不知情，但也显示了 CNNIC 对证书管理不善导致了这次事件。

随后Mozilla也加入了Google行列对CNNIC在2015年4月1日及之后颁发的所有证书进行了吊销。

相关内容：

1. Mozilla正式宣布停止信任WoSign，惩罚期至2017年6月
2. WoSign在最新事故报告承认签发了64个SHA-1证书
3. 苹果宣布在 iOS 可信根证书列表中屏蔽 WoSign
4. Mozilla 提议停止信任 WoSign 和 StartCom 签发的新证书
5. WoSign 证实其投资了以色列 CA 机构 StartCom
6. Mozilla 正在讨论是否需要吊销多次出现安全问题的中国 CA 机构 Wosign