Mozilla提议停止信任WoSign和StartCom签发的新证书
Mozilla关于中国数字证书颁发机构WoSign(沃通)存在的严重的管理问题目前依然还在讨论中。
Mozilla正式提议停止信任WoSign和StartCom签发的新证书,这项惩罚措施最短有效期为一年。
如果一年之后WoSign和StartCom能够满足Mozilla的数字证书管理要求则可以再次添加到信任列表中。
Mozilla针对WoSign的不当行为发布了13页的调查报告,包括Mozilla发现的合规化问题和管理问题。
允许证书申请者以任意端口进行验证:
WoSign允许证书申请者以任意端口进行验证,该项域名验证措施违反了限制端口和路径的使用规定。
故意倒填证书日期来绕过浏览器对SHA-1证书的限制
由于安全研究人员和安全研究机构已经证明了SHA-1证书不再安全,故各大浏览已经不再信任该证书。
全球主要浏览器厂商和数字证书颁发机构也达成了共识,在2016年1月1日后停止签发SHA-1的证书。
然而StartCom在2016年1月1日后仍然签发了SHA-1的新证书,通过故意倒填日期将证书伪装成是在2016年之前签发的,从而绕过浏览器对SHA-1的信任。
验证子域名竟然可以获得主域名的证书
2015 年 6 月份时 Wosign 被发现允许申请者通过验证子域名控制权的方式获得签发主域名的数字证书。
例如在 Github 上获得了二级域名并前往 Wosign 申请免费证书时通过了验证,然而让人意想不到的是除了该二级域名的证书会得到批准外 Github.com 主域名竟然也可以获得 SSL 证书。
一旦有人利用 Wosign 的这个漏洞申请对应网站的证书则可以用来劫持用户访问并且浏览器不会提示安全问题。
签发了将近400个相同序列号的证书
WoSign在2015年4月9日到2015年4月14日之间签发了392个序列号相同的数字证书。
数字证书的序列号需要确保是唯一的,在短短5天签发了392个相同序列号的证书可见管理存在严重问题。
WoSign收购以色列数字证书颁发机构StartCom
早前WoSign被爆出已经秘密收购了以色列数字证书颁发机构StartCom,但WoSign高管拒绝承认。
直到最后WoSign的母公司奇虎360现身后才承认WoSign已经100%收购了以色列的这家StartCom。
但随后WoSign的高管又简称StartCom是独立运营的,StartCom的原始系统并没有发生什么变化。
然而有充分的技术证据证明StartCom在被WoSign收购一个月后就开始使用WoSign的PKI签发证书。
相关内容:
- Mozilla正式宣布停止信任WoSign,惩罚期至2017年6月
- WoSign在最新事故报告承认签发了64个SHA-1证书
- 苹果宣布在 iOS 可信根证书列表中屏蔽 WoSign
- Mozilla 提议停止信任 WoSign 和 StartCom 签发的新证书
- WoSign 证实其投资了以色列 CA 机构 StartCom
- Mozilla 正在讨论是否需要吊销多次出现安全问题的中国 CA 机构 Wosign
以上部分内容来源于以下网站,转载时请保留原网站的链接:
1、Mozilla对WoSign的调查报告—Google Docs