Chrome宣布将把沃通和StartCom的根证书列为不信任

谷歌在其通告中说:

谷歌已经查明了沃通和 StartCom 这两个 CA 没有维持对其作为 CA 的高标准预期,因此根据我们的根证书策略,谷歌 Chrome
将不再信任它们。这个观点类似于苹果和 Mozilla 的根证书计划发出的最近公告。

在 2016 年 8 月 17 日,谷歌接到了 GitHub 安全团队的通告,称沃通在没有得到他们授权的情况下签发了一个 GitHub
的证书。这促使 GitHub 安全团队和 Mozilla
合作对沃通进行了调查,发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制(即对 SHA-1 签名证书的失效计划)和对
CA 的要求。更进一步的,还发现了另外一家 CA 公司 StartCom 也被沃通秘密收购,这违反了对 CA
公司被收购需要披露信息的要求。而且,沃通公司还替换了原 StartCom 的基础设施、人员、政策和签发系统。面对这种情况,沃通和
StartCom 管理层还尝试误导社区这两个公司之间的收购事实和关系。

谷歌于 10 月 31 日发布了 Chrome 56 的 Dev 渠道版本。谷歌决定从该版本的 Chrome 开始,不再信任沃通和
StartCom 于 2016 年 10 月 21 日之后签发的证书。在这个日期之前签发的证书依旧信任,但是之后,除非他们遵循 Chrome
的证书透明策略,将只能对其已有客户的域名签发。按照计划,Chrome 56 将于 2017 年 1
月正式发布稳定版,因此在此之前,使用这两个 CA 所签发证书的网站应该尽快迁移到其它被 Chrome 信任的 CA 所签发的证书下。

沃通和 StartCom 的客户会发现他们的证书在 Chrome 56 中不再有效。并且,更严厉的是,谷歌还说:

在接下来的 Chrome 版本中,还会进一步减少对这两个 CA 签发的证书的支持,直到最终完全移除对这两个 CA 的信任!

并且称:

沃通和 StartCom 的任何试图规避处罚的做法都将导致这两个 CA 被马上全部移除!

沃通的证书在国内使用比较多,而 StartCom 的 StartSSL
证书则在全球范围内有广泛的使用,尤其是它的免费证书有很多个人网站在使用。鉴于 Chrome
在浏览器市场上已经占据了一半左右的份额,因此其带来的影响将是毁灭性的。

目前,主流浏览器里面,Mozilla 的 Firefox 、苹果的 Safari 和谷歌的 Chrome
都已经做出了相应的反应,但是我们目前还没见到微软对此的跟进和表态。似乎微软在 CA 策略方面一向比较散漫,因此,IE 和 Edge
浏览器的反应或许还需要一段时间,抑或不会采取措施。

原文地址:https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

可怕,这可是市场占有率首位的 Chrome啊。

还好我早已把网站证书换成Let's Encrypt了,不然萌哒哒的绿锁啊啊啊啊。

https-icon-share.png

说下Let's Encrypt:

Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。

本站采用「署名 4.0 国际(CC BY 4.0)」创作共享协议,转载请注明本文出处及链接。

Tags: StartCom,沃通,Chrome,Let's Encrypt

文章翻页

头像
游客
发表评论
  1. what.png

  2. 表示懒得家https我博客很多东西加了https要改老半天懒癌晚期啊

  3. 看不懂说什么,很牛逼的样子不高兴.png