國內證書頒發機構StartCom宣布將於2020年徹底終止證書業務

背景介紹

國內比較知名的認證商有奇虎360旗下的沃通和StartCom，但是就在前段時間，蘋果、谷歌以及幾大瀏覽器都宣布封殺沃通和StartCom證書，事情是這樣的：

2016年下半年，奇虎360通過控股公司（WoSign沃通）完全併購了StartCom並將其部分PKI設施遷移到了奇虎伺服器中。由於牽涉安全問題，360的秘密收購在行業里引起軒然大波。

與此同時，沃通公司還被發現故意簽發違規的數字證書，這使得Mozilla於2016年9月份宣布不再信賴這兩家憑證機構，並在Firefox 58（預計2018年1月發布）中禁止兩個公司的證書。隨後，蘋果、谷歌以及微軟等公司也表示跟進。

其中，谷歌在今年1月發布的Chrome 56中，封鎖了WoSign與StartCom於去年10月21日之後所發行的憑證，並持續縮小所信賴的WoSign與StartCom憑證名單。隨貨谷歌又宣布，在今年9月中旬發布的Chrome 61瀏覽器中全面封鎖WoSign及StartCom兩家憑證機構所發行的憑證。

蘋果公司則在2016年10月就已經立即禁止了WoSign和StartCom證書；微軟公司也表示於2017年9月後停止支持這兩家公司的證書。

此後，沃通以及StartCom的證書均被主流操作系統和瀏覽器屏蔽，可以說最終這項收購案已完全變得得不償失。

失去信任，宣布退出

如今，已歸屬360公司的數字證書頒發機構StartCom已經正式宣布，將於2017年年底停止簽發新證書，並於2020年徹底終止證書籤發業務。

針對此次「退出」，StartCom在一份聲明中表示：

「大約一年前，大多數瀏覽器製造商決定不再信任StartCom，並將StartCom根證書從其根存儲中刪除，並且不再接受由StartCom簽發的新證書。儘管StartCom在這段時間內做出了很多努力，但是，直到現在仍然沒有任何跡象表明，這些瀏覽器製造商願意重新接受並信任StartCom CA證書，因此，StartCom的所有者決定終止證書籤發業務。」

根據該公司的說法，2017年年底或2018年年初（2018年1月1日）將停止簽發新的證書，自2018年1月1日起，公司還將繼續維持CRL（證書撤銷清單）以及OCSP（在線證書狀態協議）服務兩年，到2020年將徹底撤銷所有的證書。

那些年不受信任的CA認證機構

事實上，StartCom和沃通並不是唯一的證書不受信任的CA認證機構。第一個遭受這種命運的是來自荷蘭的CA認證服務機構DigiNotar，該公司由於遭遇黑客攻擊，並以Google的名義頒發了SSL證書，最終在2011年收到谷歌禁令後選擇關閉運營。

同樣的，在今年3月，谷歌和firefox調查發現Symantec未經授權錯誤簽發大量SSL證書的嚴重問題，其TLS證書也被列入了黑名單。對此，谷歌公司已經宣布，從Chrome 66版本開始Chrome將不信任2016年6月1日之前簽發的所有賽門鐵克SSL證書。谷歌Chrome 70發布時（預計2018年10月），Chrome將不信任2017年12月1日之前簽發的所有賽門鐵克SSL證書。

雖然該公司並沒有宣告「死亡」，但是它決定以9.5億美元的現金和30％的股份將其證書業務出售給DigiCert，讓DigiCert接管客戶並修復其SSL發行基礎設施。

本文參考自https://www.bleepingcomputer.com/news/security/ssl-certificate-provider-startcom-shuts-down-after-browser-ban/ 及 http://www.zdnet.com/article/startcom-to-shut-down-all-certificates-revoked-in-2020/如若轉載，請註明原文地址： http://www.4hou.com/info/news/8604.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：