去年底,拥有奇虎360公司背景的国内最大CA证书签发机构沃通(WoSign),被揭发违规颁发SSL证书以及隐瞒秘密收购另一家CA公司StartCom,因此各大浏览器开始有限度吊销其安全证书,直到今天,市场上占有率极高的Google Chrome正式宣布,将会在未来的Chrome V61版本上永久取消沃通颁发的证书信任,并且提醒各大网站管理员尽快替换掉沃通签发的证书,否者使用相关证书的网站将不能被正常访问。
CA证书是我们日常https加密网站的防伪证书,,在https传输中通过证书加密,只有在浏览器厂商和证书厂商对比了证书和加密内容确认没有经过修改,网站内容才会被显示。证书遭到泄露,会危及用户安全造成严重后果,攻击者可以利用虚假证书进行中间人攻击从而劫持用户。不过为了防止这类事情发生,浏览器厂商以及证书厂商、网站运营者都参与到证书透明的过程,可以确保自己的域名被签发的证书在自己控制范围之内。
而沃通则是中国境内的一家证书签发机构,自称是中国最大的国产品牌数字证书颁发机构,拥有全球信任的顶级根证书。
那么沃通到底做错了什么,受到一众浏览器厂商封杀呢?
原因有三:
一是有申请发现沃通的免费证书服务存在问题,只要申请者证明他们拥有子域名,即可申领到根域名的证书。(全球最大的开源代码社区Github就是这样被坑了)这就危险就大多了,也就是说你的网站子域名证书分配给别有用心的人,你的主站就很可能受到信息安全威胁。此外,研究人员发现,通过伪造的
第二个是沃通隐瞒了收购另一个CA证书颁发公司StartCom,违反了对 CA 公司被收购需要披露信息的要求。
第三个就是被收购的CA证书颁发公司StartCom违规修改证书颁发日期,帮助证书申请人规避浏览器警告风险。
沃通被浏览器封杀时间表:
2016年09月27日,Mozilla公布了对沃通CA不当行为的调查报告,正式提议将停止信任沃通和StartCom签发的新证书。
2016年10月1日,苹果公司第一宣布将会在未来的安全更新中对沃通的G2证书踢出信任白名单,已经发布到GT上的旧证书不收影响。
2016年10月26日,Mozilla开始在Fire FOX 51起,对10月21日之后沃通所签发的CA证书移除信任。
2016年10月31日,Google也宣布了开发者预览版的Chrome 56,不在信任沃通和StartCom签发的所有证书。当时Google就表明,Chrome不会手下留情,将会全面封杀来自这两个CA颁发机构的所有证书。
2017年7月7日,Google正式宣布Chrome 61将会完全停止沃通和StartCom证书信任,届时使用两个机构颁发的CA证书加密网站访问将会被限制,内容无法显示。根据Google之前说明的新版Chrome发行时间,Chrome 61最快在今年9月发布。
既然这么多浏览器厂商坚决封杀沃通和StartCom的CA证书,也就说他们在网络安全领域上已经信誉破产。不过对于一些网友来说可不是什么好事情,国内还有很多网站使用他们的证书,届时都被封杀的话,你就只能看到一大堆“Cannot verify the identity”,只能寄希望于网站管理者快点换证书了。