標籤:

國內證書頒發機構StartCom宣布將於2020年徹底終止證書業務

背景介紹

國內比較知名的認證商有奇虎360旗下的沃通和StartCom,但是就在前段時間,蘋果、谷歌以及幾大瀏覽器都宣布封殺沃通和StartCom證書,事情是這樣的:

2016年下半年,奇虎360通過控股公司(WoSign沃通)完全併購了StartCom並將其部分PKI設施遷移到了奇虎伺服器中。由於牽涉安全問題,360的秘密收購在行業里引起軒然大波。

與此同時,沃通公司還被發現故意簽發違規的數字證書,這使得Mozilla於2016年9月份宣布不再信賴這兩家憑證機構,並在Firefox 58(預計2018年1月發布)中禁止兩個公司的證書。隨後,蘋果、谷歌以及微軟等公司也表示跟進。

其中,谷歌在今年1月發布的Chrome 56中,封鎖了WoSign與StartCom於去年10月21日之後所發行的憑證,並持續縮小所信賴的WoSign與StartCom憑證名單。隨貨谷歌又宣布,在今年9月中旬發布的Chrome 61瀏覽器中全面封鎖WoSign及StartCom兩家憑證機構所發行的憑證。

蘋果公司則在2016年10月就已經立即禁止了WoSign和StartCom證書;微軟公司也表示於2017年9月後停止支持這兩家公司的證書。

此後,沃通以及StartCom的證書均被主流操作系統和瀏覽器屏蔽,可以說最終這項收購案已完全變得得不償失。

失去信任,宣布退出

如今,已歸屬360公司的數字證書頒發機構StartCom已經正式宣布,將於2017年年底停止簽發新證書,並於2020年徹底終止證書籤發業務。

針對此次「退出」,StartCom在一份聲明中表示:

「大約一年前,大多數瀏覽器製造商決定不再信任StartCom,並將StartCom根證書從其根存儲中刪除,並且不再接受由StartCom簽發的新證書。儘管StartCom在這段時間內做出了很多努力,但是,直到現在仍然沒有任何跡象表明,這些瀏覽器製造商願意重新接受並信任StartCom CA證書,因此,StartCom的所有者決定終止證書籤發業務。」

根據該公司的說法,2017年年底或2018年年初(2018年1月1日)將停止簽發新的證書,自2018年1月1日起,公司還將繼續維持CRL(證書撤銷清單)以及OCSP(在線證書狀態協議)服務兩年,到2020年將徹底撤銷所有的證書。

那些年不受信任的CA認證機構

事實上,StartCom和沃通並不是唯一的證書不受信任的CA認證機構。第一個遭受這種命運的是來自荷蘭的CA認證服務機構DigiNotar,該公司由於遭遇黑客攻擊,並以Google的名義頒發了SSL證書,最終在2011年收到谷歌禁令後選擇關閉運營。

同樣的,在今年3月,谷歌和firefox調查發現Symantec未經授權錯誤簽發大量SSL證書的嚴重問題,其TLS證書也被列入了黑名單。對此,谷歌公司已經宣布,從Chrome 66版本開始Chrome將不信任2016年6月1日之前簽發的所有賽門鐵克SSL證書。谷歌Chrome 70發布時(預計2018年10月),Chrome將不信任2017年12月1日之前簽發的所有賽門鐵克SSL證書。

雖然該公司並沒有宣告「死亡」,但是它決定以9.5億美元的現金和30%的股份將其證書業務出售給DigiCert,讓DigiCert接管客戶並修復其SSL發行基礎設施。

本文參考自bleepingcomputer.com/nezdnet.com/article/start如若轉載,請註明原文地址: 4hou.com/info/news/8604 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

子域名枚舉、探測工具AQUATONE 使用指南
[翻譯] Intel 處理器設計缺陷導致嚴重安全漏洞
利用開源工具分析新型PowerPoint惡意文檔
瑞典意外泄漏大量軍事機密及幾乎所有的公民個人信息

TAG:信息安全 |