國內證書頒發機構StartCom宣布將於2020年徹底終止證書業務
背景介紹
國內比較知名的認證商有奇虎360旗下的沃通和StartCom,但是就在前段時間,蘋果、谷歌以及幾大瀏覽器都宣布封殺沃通和StartCom證書,事情是這樣的:
2016年下半年,奇虎360通過控股公司(WoSign沃通)完全併購了StartCom並將其部分PKI設施遷移到了奇虎伺服器中。由於牽涉安全問題,360的秘密收購在行業里引起軒然大波。
與此同時,沃通公司還被發現故意簽發違規的數字證書,這使得Mozilla於2016年9月份宣布不再信賴這兩家憑證機構,並在Firefox 58(預計2018年1月發布)中禁止兩個公司的證書。隨後,蘋果、谷歌以及微軟等公司也表示跟進。
其中,谷歌在今年1月發布的Chrome 56中,封鎖了WoSign與StartCom於去年10月21日之後所發行的憑證,並持續縮小所信賴的WoSign與StartCom憑證名單。隨貨谷歌又宣布,在今年9月中旬發布的Chrome 61瀏覽器中全面封鎖WoSign及StartCom兩家憑證機構所發行的憑證。
蘋果公司則在2016年10月就已經立即禁止了WoSign和StartCom證書;微軟公司也表示於2017年9月後停止支持這兩家公司的證書。
此後,沃通以及StartCom的證書均被主流操作系統和瀏覽器屏蔽,可以說最終這項收購案已完全變得得不償失。
失去信任,宣布退出
如今,已歸屬360公司的數字證書頒發機構StartCom已經正式宣布,將於2017年年底停止簽發新證書,並於2020年徹底終止證書籤發業務。
針對此次「退出」,StartCom在一份聲明中表示:
「大約一年前,大多數瀏覽器製造商決定不再信任StartCom,並將StartCom根證書從其根存儲中刪除,並且不再接受由StartCom簽發的新證書。儘管StartCom在這段時間內做出了很多努力,但是,直到現在仍然沒有任何跡象表明,這些瀏覽器製造商願意重新接受並信任StartCom CA證書,因此,StartCom的所有者決定終止證書籤發業務。」
根據該公司的說法,2017年年底或2018年年初(2018年1月1日)將停止簽發新的證書,自2018年1月1日起,公司還將繼續維持CRL(證書撤銷清單)以及OCSP(在線證書狀態協議)服務兩年,到2020年將徹底撤銷所有的證書。
那些年不受信任的CA認證機構
事實上,StartCom和沃通並不是唯一的證書不受信任的CA認證機構。第一個遭受這種命運的是來自荷蘭的CA認證服務機構DigiNotar,該公司由於遭遇黑客攻擊,並以Google的名義頒發了SSL證書,最終在2011年收到谷歌禁令後選擇關閉運營。
同樣的,在今年3月,谷歌和firefox調查發現Symantec未經授權錯誤簽發大量SSL證書的嚴重問題,其TLS證書也被列入了黑名單。對此,谷歌公司已經宣布,從Chrome 66版本開始Chrome將不信任2016年6月1日之前簽發的所有賽門鐵克SSL證書。谷歌Chrome 70發布時(預計2018年10月),Chrome將不信任2017年12月1日之前簽發的所有賽門鐵克SSL證書。
雖然該公司並沒有宣告「死亡」,但是它決定以9.5億美元的現金和30%的股份將其證書業務出售給DigiCert,讓DigiCert接管客戶並修復其SSL發行基礎設施。
本文參考自https://www.bleepingcomputer.com/news/security/ssl-certificate-provider-startcom-shuts-down-after-browser-ban/ 及 http://www.zdnet.com/article/startcom-to-shut-down-all-certificates-revoked-in-2020/如若轉載,請註明原文地址: http://www.4hou.com/info/news/8604.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※子域名枚舉、探測工具AQUATONE 使用指南
※[翻譯] Intel 處理器設計缺陷導致嚴重安全漏洞
※利用開源工具分析新型PowerPoint惡意文檔
※瑞典意外泄漏大量軍事機密及幾乎所有的公民個人信息
TAG:信息安全 |