蓝点网
给你感兴趣的内容

Mozilla正在讨论是否需要吊销多次出现安全问题的中国CA机构Wosign

IDM涨价前最后一次促销

在错综复杂的全球互联网中HTTPS已经成为保证用户数据安全的必备措施之一。

然而如果作为HTTPS基础内容的SSL证书也容易出现问题那么互联网的安全性将大大降低。

日前在Mozilla安全邮件列表上已经有开发者正在讨论有关中国CA机构Wosign的安全事故问题

在2015年4月至2016年7月Wosign已经被发现了三起安全事故,这凸显了Wosign在验证流程上存在的问题。

Mozilla正在讨论是否需要吊销多次出现安全问题的中国CA机构Wosign

(图片来自Thehacknews)

第一起是2015年4月份时Wosign被发现允许申请免费SSL证书的用户使用任意端口进行验证,其违反了限制端口和路径的使用规定。

第二起是2015年6月份时Wosign被发现允许申请者通过验证子域名控制权的方式获得主域名的控制权。

例如在Github上获得了二级域名并前往Wosign申请免费证书时通过了验证,然而让人意想不到的是除了该二级域名的证书会得到批准外Github.com主域名竟然也可以获得SSL证书。

一旦有人利用Wosign的这个漏洞申请对应网站的证书则可以用来劫持用户访问并且浏览器不会提示安全问题。

第三起是今年7月份与Wosign有关联的CA机构StartCom被发现允许证书倒着填写日期,倒着填写日期则可以绕过浏览器对SHA-1算法的限制(由于SHA-1算法的安全性问题现在多个浏览器已经不再支持SHA-1证书)。

Mozilla目前已经考虑对Wosign采取进一步的行动,包括直接吊销Wosign的证书——这将影响大量使用Wosign签发证书的网站。

相关事件:

2015年3月份时Google发现埃及中级CA机构MCS伪造了Gmail的SSL证书,伪造的证书用来监控MCS雇员的通讯以及其他目的。

Google在发现后立即吊销了MCS的CA证书,并且将MCS证书的上一级颁发者CNNIC根证书一并吊销了。

尽管后来 CNNIC 宣称对 MCS 伪造 Google 旗下产品证书的事件不知情,但也显示了 CNNIC 对证书管理不善导致了这次事件。

随后Mozilla也加入了Google行列对CNNIC在2015年4月1日及之后颁发的所有证书进行了吊销。

相关内容:

  1. Mozilla正式宣布停止信任WoSign,惩罚期至2017年6月
  2. WoSign在最新事故报告承认签发了64个SHA-1证书
  3. 苹果宣布在 iOS 可信根证书列表中屏蔽 WoSign
  4. Mozilla 提议停止信任 WoSign 和 StartCom 签发的新证书
  5. WoSign 证实其投资了以色列 CA 机构 StartCom
  6. Mozilla 正在讨论是否需要吊销多次出现安全问题的中国 CA 机构 Wosign
转载请注明蓝点网 » Mozilla正在讨论是否需要吊销多次出现安全问题的中国CA机构Wosign
分享到: 更多 (0)
请注意:按相关管理条例要求本站已关闭留言功能恢复时间待定。

评论 3

评论前必须登录!

 

  1. #2
    Google Chrome 52.0.2743.116 Windows 10 x64 Edition

    把CNNIC的所有证书都吊销吧,这些证书大多都是用于监控用的

    null1年前 (2016-08-31)
  2. #1
    Google Chrome 52.0.2743.116 Windows 10 x64 Edition

    wosign 免费证书有很大的市场吧 这里面到底谁对谁非? 国字头的机构都被吊销了。。。

    1Q941年前 (2016-08-30)
    • Google Chrome 52.0.2743.116 Windows 10 x64 Edition

      wosign免费的主要个人网站用的多 企业级市场wosign占有率也挺高的 国内