IT业界

Mozilla取消对沃通与StartCom新签发证书的信任

Mozilla 发现「沃通(WoSign)」证书颁发机构(Certificate Authority;CA 发生许多技术与管理上的错误。最严重的是,其他 CA 为安全性考虑,已经从 2016 1 1 日起停止签发 SHA-1 SSL 证书,但 Mozilla 发现沃通窜改了该 SSL 证书的日期,就为了规避此停止颁发日期。此外,Mozilla 还发现在沃通并购同业「StartCom」并完整取得其经营权之后,也未依照 Mozilla 政策而公开披露以上并购行为。在整理相关有效数据证实所言非虚之前,沃通与 StartCom的负责人更对上述指控一概否认。基于公司负责人表现的欺瞒行为,Mozilla 决定不再信任目前包含在 Mozilla 根证书项目中的沃通根证书(Root certificate)和 StartCom 根证书今后颁发的服务器证书。

26bc29b98e05d2274c091b9b7b3633ef.jpg


Mozilla 将为此采取下列措施:

1、针对有效期在起始日期 2016 10 21 日之后的证书,且证书链中包含以下受影响根证书,现一律取消对其的信任。如果被(以任何方式)发现继续通过窜改日期欲规避此控制方式的行为,Mozilla 将立刻且永久撤销受影响的根证书。

此更改将自 Firefox 51 版本起生效

程序代码将通过下列主体唯一识别名称(Subject Distinguished Names来识别根证书,因此控制行为也将套用到这些根证书的交叉证书(Cross-certificates

  • CN=CA 沃通根证书,OU=nullO=WoSign CA LimitedC=CN
  • CN=Certification Authority of WoSignOU=nullO=WoSign CA LimitedC=CN
  • CN=Certification Authority of WoSign G2OU=nullO=WoSign CA LimitedC=CN
  • CN=CA WoSign ECC RootOU=nullO=WoSign CA LimitedC=CN
  • CN=StartCom Certification AuthorityOU=Secure Digital Certificate SigningO=StartCom Ltd.C=IL
  • CN=StartCom Certification Authority G2OU=nullO=StartCom Ltd.C=IL

2、将先前查明的由受影响根证书签发的窜改了日期的 SHA-1 证书加入到 OneCRL

3、不再接受安永会计师事务所(香港Ernst & Young Hong Kong)的审计报告。

4、未来将择期自 Mozilla 证书数据库中移除受影响的根证书。如果沃通的新根证书达到可接受的标准Mozilla 可能会根据沃通的规划来调整移除证书的确切日期,以便将其客户迁移至新的根证书。否则 Mozilla 将于 2017 3 月之后的任一时间移除根证书。

5、Mozilla 保留采取进一步或者其它措施的权利。

如果网站所有者在 2016 10 21 日之后,接收到以上两家 CA 之一所签发的证书,则该证书将于 Mozilla 产品(如 Firefox 51 或以后的版本)中失效,除非这两家证书颁发机构提供了使用不同主体唯一识别名称的新的根证书,并且手动导入了对应于服务器证书的根证书。在Mozilla 的根证书数据库纳入新的根证书之前,该网站的用户也必须手动导入新的根证书。

Bug #1311824Bug #1311832 分别对沃通以及 StartCom 所述,此两家 CA 均可重新申请加入新的(替代)根证书。

Mozilla 安全团队认为相关回应措施与 Mozilla 政策非常一致。若其他 CA 也通过类似的欺瞒手段,企图规避 Mozilla 的 CA 策略CA/Browser Forum Baseline Requirements,或是 Mozilla 负责人的直接询问,Mozilla 均将采用相同的应对方式。