Firefox瀏覽器背后的Mozilla基金會(huì)正在考慮對(duì)沃通(WoSign)及被其秘密收購(gòu)的StartCom(著名的StartSSL即其旗下產(chǎn)品)這兩個(gè)CA一年內(nèi)新簽發(fā)的所有SSL證書(shū)進(jìn)行封殺。
Mozilla的工程師是在對(duì)這兩個(gè)CA簽發(fā)了一系列可疑的SSL SHA-1證書(shū)進(jìn)行調(diào)查之后,宣布了這個(gè)禁令。
這兩家CA試圖規(guī)避SHA-1停用政策
該問(wèn)題主要是因?yàn)楦鞔笾饕獮g覽器廠商共同決定從2016年1月1日開(kāi)始就停止接受采用陳舊的SHA-1簽名算法的證書(shū)。而Mozilla指責(zé)沃通今年還在簽發(fā)SHA-1簽名的證書(shū),并將簽發(fā)日期倒填成去年12月份。
雖然Mozilla也允許一些其它的CA在2016年1月1日之后繼續(xù)簽發(fā)SHA-1證書(shū),比如說(shuō)賽門(mén)鐵克,但是他們僅允許那些通過(guò)了復(fù)雜的審批流程的CA這樣做,而顯然沃通沒(méi)有得到同意。
沃通秘密收購(gòu)了StartCom
此外,沃通似乎在否認(rèn)其收購(gòu)了以色列CA公司StartCom。Mozilla說(shuō),沃通已經(jīng)于2015年11月1日百分百地收購(gòu)了StartCom。而另一方面,據(jù)稱它共計(jì)持有84%的沃通股份。但是這些信息沃通此前都予以否認(rèn)或拒絕發(fā)表意見(jiàn)。
此外,在Mozilla披露的技術(shù)細(xì)節(jié)中顯示,StartCom已經(jīng)開(kāi)始使用沃通的基礎(chǔ)架構(gòu)來(lái)簽發(fā)新的證書(shū)了。而且,StartCom也和沃通一樣在2016年采用了倒填日期的手段來(lái)簽發(fā)SHA-1證書(shū)。Mozilla的安全工程師也展示了這種違例的案例細(xì)節(jié)。
Mozilla的調(diào)查發(fā)現(xiàn),一個(gè)和GeoTrust CA合作了多年的付費(fèi)處理機(jī)構(gòu)Tyro突然在6月中旬使用StartCom部署了一個(gè)SHA-1簽名的證書(shū),而此前該機(jī)構(gòu)從未和StartCom有過(guò)合作。該證書(shū)看起來(lái)是在2015年12月20日簽發(fā)的,而在同一個(gè)日期StartCom簽發(fā)大量的SHA-1證書(shū)。Mozlla發(fā)現(xiàn)這些證書(shū)部署于2016年中,這很不正常,這顯然是采用倒填日期來(lái)規(guī)避SHA-1停用的策略。
這些問(wèn)題以及其它的更多問(wèn)題讓Mozilla決定在至少一年內(nèi)不再信任沃通和StartCom的SSL證書(shū)。
或許會(huì)永久封殺
Mozilla說(shuō)這個(gè)臨時(shí)封殺僅針對(duì)這兩個(gè)公司最新簽發(fā)的證書(shū),不影響已經(jīng)分發(fā)給他們的客戶的證書(shū)。如果這兩個(gè)公司在一年的封殺后沒(méi)有通過(guò)一系列的檢查,Mozilla將準(zhǔn)備封殺這兩個(gè)公司的所有證書(shū)。
“許多人都在盯著Web PKI安全體系,如果發(fā)現(xiàn)了這樣的倒填(不管是什么原因),Mozilla會(huì)立即永久地取消對(duì)沃通和StartCom根證書(shū)的信任。”該報(bào)告中說(shuō)。
此外,Chrome和其它產(chǎn)品的對(duì)它們的封殺也在計(jì)劃中。“其它的瀏覽器廠商和根證書(shū)存儲(chǔ)運(yùn)營(yíng)者也會(huì)做出他們自己的決定,我們?cè)谶@個(gè)文檔中擺出了這些信息,以便他們了解我們做出這個(gè)決定的原因,并可以據(jù)此做出他們的決定。”Mozilla說(shuō)。