firefox 浏覽器背後的 mozilla 基金會正在考慮對沃通(wosign)及被其秘密收購的 startcom(著名的 startssl 即其旗下産品)這兩個 ca 一年内新簽發的所有 ssl 證書進行封殺。
mozilla 的工程師是在對這兩個 ca 簽發了一系列可疑的 ssl sha-1 證書進行調查之後,宣布了這個禁令。
這兩家 ca 試圖規避 sha-1 停用政策
該問題主要是因為各大主要浏覽器廠商共同決定從 2016 年 1 月 1 日開始就停止接受采用陳舊的 sha-1 簽名算法的證書。而 mozilla 指責沃通今年還在簽發 sha-1 簽名的證書,并将簽發日期倒填成去年 12 月份。
雖然 mozilla 也允許一些其它的 ca 在 2016 年 1 月 1 日之後繼續簽發 sha-1 證書,比如說賽門鐵克,但是他們僅允許那些通過了複雜的審批流程的 ca 這樣做,而顯然沃通沒有得到同意。
沃通秘密收購了 startcom
此外,沃通似乎在否認其收購了以色列 ca 公司 startcom。mozilla 說,沃通已經于 2015 年 11 月 1 日百分百地收購了 startcom。而另一方面,據奇虎 360 稱,它共計持有 84% 的沃通股份。但是這些資訊沃通此前都予以否認或拒絕發表意見。
此外,在 mozilla 披露的技術細節中顯示,startcom 已經開始使用沃通的基礎架構來簽發新的證書了。而且,startcom 也和沃通一樣在 2016 年采用了倒填日期的手段來簽發 sha-1 證書。mozilla 的安全工程師也展示了這種違例的案例細節。
mozilla 的調查發現,一個和 geotrust ca 合作了多年的付費處理機構 tyro 突然在 6 月中旬使用 startcom 部署了一個 sha-1 簽名的證書,而此前該機構從未和 startcom 有過合作。該證書看起來是在 2015 年 12 月 20 日簽發的,而在同一個日期 startcom 簽發大量的 sha-1 證書。mozlla 發現這些證書部署于 2016 年中,這很不正常,這顯然是采用倒填日期來規避 sha-1 停用的政策。
這些問題以及其它的更多問題讓 mozilla 決定在至少一年内不再信任沃通和 startcom 的 ssl 證書。
或許會永久封殺
mozilla 說這個臨時封殺僅針對這兩個公司最新簽發的證書,不影響已經分發給他們的客戶的證書。如果這兩個公司在一年的封殺後沒有通過一系列的檢查,mozilla 将準備封殺這兩個公司的所有證書。
“許多人都在盯着 web pki 安全體系,如果發現了這樣的倒填(不管是什麼原因),mozilla 會立即永久地取消對沃通和 startcom 根證書的信任。”該報告中說。
此外,chrome 和其它産品的對它們的封殺也在計劃中。“其它的浏覽器廠商和根證書存儲營運者也會做出他們自己的決定,我們在這個文檔中擺出了這些資訊,以便他們了解我們做出這個決定的原因,并可以據此做出他們的決定。”mozilla 說。
![查找算法之二分查找查找算法之二分查找[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)