证书政策违法于Startcom和WoSign的力量改革
Startcom和WoSign的最高管理将被替换,两位证书当局将在浏览器供应商发现他们错误发布许多数字证书,违反行业规则后进行审核。
Mozilla推出的调查导致了13个实例,其中13个在中国的WOSign及其附属公司Startcom发出了各种类型的证书。还发现证据表明,CAS发行的证书与SHA-1算法在1月1日之后签署了行业规则,并故意回溯它们以避免被抓住。
结果,Mozilla表示,它对WoSign和Startcom能够正确执行CA的功能并宣布它将阻止这两家公司的新证书来失去信心。苹果遵循套装,并宣布上周为未来的WoSign和Startcom证书禁止。
WOSIGN为周五的详细响应中提供了所有已发现问题的解释,并承认其故意发出64个备份证书42。这将花费WoSign CEO,Richard Wang,他的工作。
“WoSign承认它造成了颁发64个备份证书的严重错误。根据CA标准(包括没有回溯),WoSign CEO负责维持技术和运营准确性,并没有这样做,“WoSign在其回应中表示。“要求SHA-1的客户联系了WOSIGN与WOSIGN犯了错误批准后退证书。在2016年中期,Startcom由Tyro为SHA-1证书与Richard Wang联系,批准了发行,这是一个错误。“
该公司表示,遵守证书的决定是为了帮助我们在中国的绝望客户,他们不再获得SHA-1证书,并且无法支持仍然使用Windows XP与Service Pack 2的国内数百万台计算机。
中国互联网安全公司QIHOO 360拥有WoSign的大多数股权,在Startcom中隐含地,已经进入并决定分开这两个CAS。
“360年代的企业发展团队已通知,以便在法律上单独的WOSIGN和Startcom执行该过程,并开始执行人员重新分配,”该公司表示。“Startcom的董事长将是小胜谭(Qihoo 360的首席安全官员)。Startcom的首席执行官将是Inigo Barreira(原始欧洲的前任Gm)。Richard Wang将从WoSign的首席执行官释放他的职责。“
Qihoo 360指出,Startcom多年来一直以符合符合要求的CA运作,并且由于WOSIGN收购后唯一的错误是发出两次有限的证书,并批准。
因此,该公司希望Startcom将完全分开并直接向Qihoo报告。它还希望浏览器供应商分别考虑这一事件的反响,以便为WoSign和Startcom分开。后者正在准备自己的响应和前进计划。
Startcom于1999年在以色列成立,并是第一个提供免费数字证书的CA。大多数公司的客户来自中国以外,与WoSign的不同。禁止未来的Startcom证书将在其现有证书到期时迫使欧洲,北美和其他地方的许多组织搜索新的证书提供商。