苹果宣布在iOS可信根证书列表中屏蔽WoSign
有关中国数字证书颁发机构WoSign(沃通)的违规问题依然还在发酵中,这次加入屏蔽的是苹果公司。
此前Mozilla有关WoSign的处理意见是建议在Firefox浏览器的根证书列表吊销WoSign新签发的数字证书。
Mozilla也发布了长达13页的详细的调查报告,不过目前这项举措仍然还处于讨论状态未更新到Firefox中。
而苹果公司的做法看起来就比较果断了,苹果9月30日在iOS中取消对WoSign旗下的免费证书的信任。
WoSign免费证书的签发者英文名是WoSign CA Free SSL Certificate G2,中文名为CA 沃通免费SSL证书G2。
苹果同时宣称将视调查进展对WoSign和StartCom采取进一步措施,StartCom已经被WoSign收购。
实际上WoSign并不处于Apple可信根证书列表中,而是通过StartCom与Comodo(科莫多)的交叉签名建立在Apple产品中的信任。
为了避免影响到现有的WoSign证书持有者,在2016年9月19日前签发的且已经登记在证书透明度公共日志服务器上的证书仍然被信任。
但鉴于WoSign和StartCom并未积极登记其在2015年及之前签发的证书,并且2016年上半年签发的证书也都没有登记。
所以2016年9月19日前签发的WoSign证书仍然可能不被Apple信任,担心受影响的用户可以去证书透明度网站进行检查登记状态。
Google透明度报告:https://www.google.com/transparencyreport/https/ct/?hl=zh-CN
针对Mozilla的调查结果Qihoo 360和StartCom已经要求下周二与Mozilla的代表在伦敦举行会议商讨。
而WoSign本身及其CEO王高华拒绝参加会议,Qihoo 360是WoSign的最大股东。
相关内容: