谷歌到untrust woosign和startcom证书
在Mozilla和Apple的类似决策之后,谷歌计划拒绝两名证书当局发出的新数字证书,因为它们违反了行业规则和最佳实践。
禁令将在Chrome 56版中生效,该版本在DEV发行渠道中,并将适用于10月21日之后的证书颁发机构和Startcom发出的所有证书。浏览器依赖数字证书验证网站的身份并与它们建立加密连接。
10月21日之前发布的证书将继续受到信任,只要他们“重新发布到公共证书透明度日志或已发布给已知的WoSign和Startcom客户所拥有的有限域名。
该禁令遵循Mozilla-LED调查,发现了WOSIGN的SSL证书发布过程中的多项问题,这是一个基于中国的证书颁发机构。调查还透露,2015年,2015年,默默地收购了Startcom,基于以色列的CA,而不披露经营证书根计划的浏览器供应商的交易。
在调查期间发现的问题中,在2016年1月1日1日1月1日的行业官方SHA-1截止日期之后,WOSIGN发布了64起签发了与老化SHA-1算法的证书。然后,CA备份这些证书以使其看起来好像在1月1日之前发布。试图隐藏违规行为。
中国互联网安全公司QIHOO 360拥有令人核武器的大多数股权,在Startcom中隐含地阶段,最近进入并决定将这两个CAS分开默默地分享基础设施,员工,政策和发行系统近一年。
Qihoo 360在确定他确定他批准了由Startcom发出的第42 Sha-1证书的回答后,QIHOO 360发射了WOSIGN的首席执行官理查德王。然而,该公司要求浏览器供应商在决定处罚时分别对待WoSign和Startcom事件,使后者的长期历史作为可靠的全球性CA和对其行动的影响更有限。
它没有似乎这个策略效果,因为到目前为止苹果,Mozilla和Google宣布了禁止WoSign和Startcom证书的决定。Startcom自1999年以来一直在运营,是第一个提供免费数字证书的CA,并且与WoSign不同,其大多数客户都来自中国以外。
“由于许多技术限制和疑虑,谷歌Chrome无法相信所有预先存在的证书,同时确保我们的用户受到充分保护的进一步迷惑,”周一博客帖子的Chrome Security团队成员Andrew Whalley表示。“由于这些变化,WoSign和Startcom的客户可能会发现他们的证书不再在Chrome 56中工作。”
此外,10月21日之前签发的证书的例外只是暂时的,旨在向WoSign和Startcom客户提供时间来向其他CA过渡。随后的Chrome版本将减少这些异常,并且两个CAS最终将完全不受信任。
“发现自己在此白名单上的网站将能够在转移到新证书后提前删除,”Whalley说。“WOSIGN或Startcom的任何尝试都将导致这些控件立即和完全删除信任。”