Mozilla下狠手:封杀沃通与StartSSL所有年内签发的证书

Firefox浏览器背后的Mozilla基金会正在考虑对沃通(WoSign)及被其秘密收购的StartCom(著名的StartSSL即其旗下产品)这两个CA一年内新签发的所有SSL证书进行封杀。

Mozilla的工程师是在对这两个CA签发了一系列可疑的SSL SHA-1证书进行调查之后,宣布了这个禁令。

这两家CA试图规避SHA-1停用政策

该问题主要是因为各大主要浏览器厂商共同决定从2016年1月1日开始就停止接受采用陈旧的SHA-1签名算法的证书。而Mozilla指责沃通今年还在签发SHA-1签名的证书,并将签发日期倒填成去年12月份。

虽然Mozilla也允许一些其它的CA在2016年1月1日之后继续签发SHA-1证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的CA这样做,而显然沃通没有得到同意。

沃通秘密收购了StartCom

此外,沃通似乎在否认其收购了以色列CA公司StartCom。Mozilla说,沃通已经于2015年11月1日百分百地收购了StartCom。而另一方面,据称它共计持有84%的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。

此外,在Mozilla披露的技术细节中显示,StartCom已经开始使用沃通的基础架构来签发新的证书了。而且,StartCom也和沃通一样在2016年采用了倒填日期的手段来签发SHA-1证书。Mozilla的安全工程师也展示了这种违例的案例细节。

Mozilla的调查发现,一个和GeoTrust CA合作了多年的付费处理机构Tyro突然在6月中旬使用StartCom部署了一个SHA-1签名的证书,而此前该机构从未和StartCom有过合作。该证书看起来是在2015年12月20日签发的,而在同一个日期StartCom签发大量的SHA-1证书。Mozlla发现这些证书部署于2016年中,这很不正常,这显然是采用倒填日期来规避SHA-1停用的策略。

这些问题以及其它的更多问题让Mozilla决定在至少一年内不再信任沃通和StartCom的SSL证书。

或许会永久封杀

Mozilla说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla将准备封杀这两个公司的所有证书。

“许多人都在盯着Web PKI安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla会立即永久地取消对沃通和StartCom根证书的信任。”该报告中说。

此外,Chrome和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla说。

本文转自d1net(转载)

时间: 2024-10-23 12:41:07

Mozilla下狠手:封杀沃通与StartSSL所有年内签发的证书的相关文章

Mozilla将封杀沃通和 StartSSL一年内新签发的所有证书

Firefox 浏览器背后的 Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀. Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令. 这两家 CA 试图规避 SHA-1 停用政策 该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算

Mozilla 将封杀沃通和 StartSSL 一年内新签发的所有证书

Firefox 浏览器背后的 Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀. Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令. 这两家 CA 试图规避 SHA-1 停用政策 该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算

商界杂志:谁在对魅族下狠手

随着M8停产事件的升级,是确有其事,还是忽悠炒作?这一切随着黄章的淡出而变得扑朔迷离.难以考证. □文/本刊记者 陶 昆 今年8月,本刊曾以<魅族:中国苹果红了>为题,报道过这家中国最成功的本土智能手机生产商. 当时,我们曾对魅族寄予过不小的希望,希望它能成为无数中国模仿者的成功典范,为中国式的"山寨转正"探寻出一条可行的道路.我们曾祝愿魅族这颗"中国苹果"能够早日成熟,并且,好好接住. 如今,随着正牌"苹果"杀入 中国市场,魅族的&

黑客下狠手韩美同遭攻

韩国总统府.国防部.外交通商部等政府部门和主要银行.媒体网站7日晚同时遭分布式拒绝服务(DDoS)攻击,瘫痪时间长达4小时.韩国.美国媒体8日报道,这次大规模黑客攻击与美国财政部.特工处等联邦机构网站连日来所受攻击疑似出自一路,攻击方可能为"黑客集团". 韩国 黑客发动数次攻击 韩国情报振兴院8日介绍,总统府青瓦台网站7日晚6时左右受到首次攻击,随后恢复正常,但不明身份的黑客再次发动数次攻击,致使网站陷入瘫痪,截至8日上午10时,仍处于无法链接状态. 与青瓦台网站遭攻击几乎同时,国会.

谷歌和火狐宣布停止信任沃通和 StartCom

苹果在上个月已经宣布停止信任沃通根证书.现在谷歌和火狐也相继宣布停止信任沃通和StartCom的证书. Google: 从Chrome 56开始,不再信任WoSign和StartCom在2016年10月21日00:00:00 UTC后颁发的证书 Mozilla: 如果您在2016年10月21日之后从这两个CA之一收到证书,则您的证书不会在Mozilla产品(例如Firefox 51及更高版本)中生效. 苹果已经不信任WoSign,但到目前为止还没有为StartCom采取行动. 文章转载自 开源中

沃通上线DigiCert Inc签发的新证书

去年,沃通因证书事故遭到了Google和Mozilla的封锁,这导致沃通旗下签发的证书几乎没有任何使用的价值.现在沃通又上线了新的证书产品,新证书使用的根证书品牌为DigiCert.DigiCert的根证书是得到了所有主流浏览器的信任的,因此作为中级证书的沃通签发的证书也被信任. 也正是因为如此有人开始质疑对沃通的制裁变得毫无意义了,但沃通以自己品牌转售DigiCert的证书并不违规. 新证书部署站点示例(沃通官网,今日刚部署上): https://www.wosign.com P.S. 不知是

沃通上线由波兰数字证书颁发机构签发的新证书

此前沃通因证书事故遭到了Google和Mozilla的封锁,这导致沃通旗下签发的证书几乎没有任何使用的价值.而后沃通将其证书降价至一折进行销售,不过鉴于两大主流浏览器的不信任估计也没多少用户会去购买.现在沃通又上线了新的证书产品供用户购买,新证书使用的根证书由波兰证书颁发机构Certum Trusted Network CA签发. Certum Trusted Network CA根证书是得到了所有主流浏览器的信任的,因此作为中级证书的沃通签发的证书也被信任.也正是因为如此有人开始质疑对沃通的制

sip 单通-路由器下接手机使用linphone拨打ippbx下的话机出现单通

问题描述 路由器下接手机使用linphone拨打ippbx下的话机出现单通 路由器打开wifi功能,手机使用linphone注册到ippbx下,拨打ippbx下的话机,主叫单通,听不到被叫声音.

jni-Android JNI 可以不用NDK吗?另外,原有的SDK工程移到NDK环境下是否依然可以跑通

问题描述 Android JNI 可以不用NDK吗?另外,原有的SDK工程移到NDK环境下是否依然可以跑通 **原有的SDK 环境下的Android工程需要引入底层的一些dll库来做数据处理分析等** 需要通过JNI调用的方式调用这些dll库,当前有以下两种解决方方法:一种是和JAVA一样的JNI调用方式,另一种是通过NDK进行调用. 关于第一种直接用类似JAVA的解决方式,发现可以编译成功,但是无法调用,系统提示loadLiabrary return null,可能有解决方法,当前尚未解决.