搜索
查看: 2591|回复: 13
收起左侧

[软件相关] Mozilla下狠手:封杀沃通与StartSSL所有年内签发的证书

[复制链接]
lastpass
发表于 2016-9-30 21:37:20 | 显示全部楼层 |阅读模式
Firefox浏览器背后的Mozilla基金会正在考虑对沃通(WoSign)及被其秘密收购的StartCom(著名的StartSSL即其旗下产品)这两个CA一年内新签发的所有SSL证书进行封杀。
Mozilla的工程师是在对这两个CA签发了一系列可疑的SSL SHA-1证书进行调查之后,宣布了这个禁令。



这两家CA试图规避SHA-1停用政策

该问题主要是因为各大主要浏览器厂商共同决定从2016年1月1日开始就停止接受采用陈旧的SHA-1签名算法的证书。而Mozilla指责沃通今年还在签发SHA-1签名的证书,并将签发日期倒填成去年12月份。
虽然Mozilla也允许一些其它的CA在2016年1月1日之后继续签发SHA-1证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的CA这样做,而显然沃通没有得到同意。

沃通秘密收购了StartCom

此外,沃通似乎在否认其收购了以色列CA公司StartCom。Mozilla说,沃通已经于2015年11月1日百分百地收购了StartCom。而另一方面,据称它共计持有84%的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。
此外,在Mozilla披露的技术细节中显示,StartCom已经开始使用沃通的基础架构来签发新的证书了。而且,StartCom也和沃通一样在2016年采用了倒填日期的手段来签发SHA-1证书。Mozilla的安全工程师也展示了这种违例的案例细节。
Mozilla的调查发现,一个和GeoTrust CA合作了多年的付费处理机构Tyro突然在6月中旬使用StartCom部署了一个SHA-1签名的证书,而此前该机构从未和StartCom有过合作。该证书看起来是在2015年12月20日签发的,而在同一个日期StartCom签发大量的SHA-1证书。Mozlla发现这些证书部署于2016年中,这很不正常,这显然是采用倒填日期来规避SHA-1停用的策略。
这些问题以及其它的更多问题让Mozilla决定在至少一年内不再信任沃通和StartCom的SSL证书。

或许会永久封杀

Mozilla说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla将准备封杀这两个公司的所有证书。
“许多人都在盯着Web PKI安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla会立即永久地取消对沃通和StartCom根证书的信任。”该报告中说。
此外,Chrome和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla说。

评分

参与人数 1经验 +11 收起 理由
Tarchia + 11

查看全部评分

猪头无双
头像被屏蔽
发表于 2016-9-30 21:38:05 | 显示全部楼层
会有人跟进说火狐抵制360吗?
ELOHIM
发表于 2016-9-30 21:53:51 | 显示全部楼层
猪头无双 发表于 2016-9-30 21:38
会有人跟进说火狐抵制360吗?

无标题.png

手动禁用不行啦,你看现在已经被微软更新了。
不受信证书不让添加,说存储区已满。

还有好方法吗?
猪头无双
头像被屏蔽
发表于 2016-9-30 22:17:36 | 显示全部楼层
ELOHIM 发表于 2016-9-30 21:53
手动禁用不行啦,你看现在已经被微软更新了。
不受信证书不让添加,说存储区已满。

这个真没有
ELOHIM
发表于 2016-9-30 22:19:08 | 显示全部楼层

一会儿进管理员试试,不行的话就有 ikimi的工具。。
猪头无双
头像被屏蔽
发表于 2016-9-30 22:20:31 | 显示全部楼层
ELOHIM 发表于 2016-9-30 22:19
一会儿进管理员试试,不行的话就有 ikimi的工具。。

好主意
echosun
发表于 2016-9-30 22:41:01 | 显示全部楼层
为什么呢?沃通怎么了
心有千千结
发表于 2016-9-30 23:38:30 | 显示全部楼层
echosun 发表于 2016-9-30 22:41
为什么呢?沃通怎么了


流氓证书企业。你上google搜索下沃通就知道了。
FUZE
发表于 2016-10-1 02:35:51 | 显示全部楼层
可以,干得漂亮
qwerqwer89
发表于 2016-10-1 09:59:55 | 显示全部楼层
应该的,安全第一
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-13 18:22 , Processed in 0.097950 second(s), 22 queries .

快速回复 返回顶部 返回列表