Mozilla關(guān)于中國(guó)數(shù)字證書頒發(fā)機(jī)構(gòu)WoSign（沃通）存在的嚴(yán)重的管理問題目前依然還在討論中。

Mozilla正式提議停止信任WoSign和StartCom簽發(fā)的新證書，這項(xiàng)懲罰措施最短有效期為一年。

如果一年之后WoSign和StartCom能夠滿足Mozilla的數(shù)字證書管理要求則可以再次添加到信任列表中。

Mozilla針對(duì)WoSign的不當(dāng)行為發(fā)布了13頁(yè)的調(diào)查報(bào)告，包括Mozilla發(fā)現(xiàn)的合規(guī)化問題和管理問題。

允許證書申請(qǐng)者以任意端口進(jìn)行驗(yàn)證：

WoSign允許證書申請(qǐng)者以任意端口進(jìn)行驗(yàn)證，該項(xiàng)域名驗(yàn)證措施違反了限制端口和路徑的使用規(guī)定。

故意倒填證書日期來繞過瀏覽器對(duì)SHA-1證書的限制

由于安全研究人員和安全研究機(jī)構(gòu)已經(jīng)證明了SHA-1證書不再安全，故各大瀏覽已經(jīng)不再信任該證書。

全球主要瀏覽器廠商和數(shù)字證書頒發(fā)機(jī)構(gòu)也達(dá)成了共識(shí)，在2016年1月1日后停止簽發(fā)SHA-1的證書。

然而StartCom在2016年1月1日后仍然簽發(fā)了SHA-1的新證書，通過故意倒填日期將證書偽裝成是在2016年之前簽發(fā)的，從而繞過瀏覽器對(duì)SHA-1的信任。

驗(yàn)證子域名竟然可以獲得主域名的證書

2015 年 6 月份時(shí) Wosign 被發(fā)現(xiàn)允許申請(qǐng)者通過驗(yàn)證子域名控制權(quán)的方式獲得簽發(fā)主域名的數(shù)字證書。

例如在 Github 上獲得了二級(jí)域名并前往 Wosign 申請(qǐng)免費(fèi)證書時(shí)通過了驗(yàn)證，然而讓人意想不到的是除了該二級(jí)域名的證書會(huì)得到批準(zhǔn)外 Github.com 主域名竟然也可以獲得 SSL 證書。

一旦有人利用 Wosign 的這個(gè)漏洞申請(qǐng)對(duì)應(yīng)網(wǎng)站的證書則可以用來劫持用戶訪問并且瀏覽器不會(huì)提示安全問題。

簽發(fā)了將近400個(gè)相同序列號(hào)的證書

WoSign在2015年4月9日到2015年4月14日之間簽發(fā)了392個(gè)序列號(hào)相同的數(shù)字證書。

數(shù)字證書的序列號(hào)需要確保是唯一的，在短短5天簽發(fā)了392個(gè)相同序列號(hào)的證書可見管理存在嚴(yán)重問題。

WoSign收購(gòu)以色列數(shù)字證書頒發(fā)機(jī)構(gòu)StartCom

早前WoSign被爆出已經(jīng)秘密收購(gòu)了以色列數(shù)字證書頒發(fā)機(jī)構(gòu)StartCom，但WoSign高管拒絕承認(rèn)。

直到最后WoSign的母公司奇虎360現(xiàn)身后才承認(rèn)WoSign已經(jīng)100%收購(gòu)了以色列的這家StartCom。

但隨后WoSign的高管又簡(jiǎn)稱StartCom是獨(dú)立運(yùn)營(yíng)的，StartCom的原始系統(tǒng)并沒有發(fā)生什么變化。

然而有充分的技術(shù)證據(jù)證明StartCom在被WoSign收購(gòu)一個(gè)月后就開始使用WoSign的PKI簽發(fā)證書。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/