日前 Mozilla 发表报告指,为了继续提供不安全的 SHA-1 加密,中国凭证机构 WoSign 伪造凭证的发行日期;此外 WoSign 被指收购同行 StartCom 时没有披露拥有权变更,违反 Mozilla 政策,Mozilla 旗下产品因此准备不会信任 WoSign 新发的凭证最少一年。报告又指,为 WoSign 核数的安永香港(EY)未有察觉问题。
由于 SHA-1 加密较不安全,微软、Google、Mozilla 纷纷弃用,今年起新的 SHA-1 凭证均无效,然而 WoSign 仍继续使用,把凭证的开始日(notBefore)设回 2016 年之前,使浏览器不会认为凭证在 2016 年后颁发而封锁。
除此之外,WoSign 被指收购以色列同行 StartCom 时没有披露拥有权变更,违反 Mozilla CA Certificate Maintenance Policy 第五部分。StartCom 曾经发出不恰当的凭证。
Mozilla 报告也透露,Google 曾于 2015 年接触 WoSign,对 WoSign 发出的证书违反业界指引 (Baseline Requirements )表达关注,促请 WoSign 检查证书有否违反他们的证书颁发准则( Certification Practice Statement)。Google 特别指出,WoSign 当时的核数师、即香港安永 (EY)理应能察觉问题。
基于种种原因,Mozilla “已对 WoSign/StartCom 能真诚和称职地屦行凭证机构的责任失去信心”,提出在将来不让旗下产品相信 WoSign 及 StartCom 的新凭证,为期 12 个月。如要重新被信任,WoSign 要被重新审核,但不能再由安永香港负责。
WoSign 于今年 8 月被发现向一般人发出 GitHub 主域名的证书。当时有人正为 “med.ucf.edu”向 WoSign 申请凭证,却发现连主域名 ucf.edu 的凭证也一并发出。为了测试,他再用自己的 GitHub Pages 申请凭证,结果 WoSign 连 Github 主域名的凭证也发出。
- Firefox ready to block certificate authority that threatened Web security
- Mozilla wants woeful WoSign certs off the list
- Chinese Certificate Authority ‘mistakenly’ gave out SSL Certs for GitHub Domains
(本文由 Unwire Pro 授权转载)
