❏ 站外平台:

沃通 CEO 辞职,苹果在 iOS 中封杀沃通 CA 证书

| 2016-10-09 08:53   评论: 2 收藏: 1 分享: 1    

Mozilla 披露的 StartCom(StartSSL) 和沃通(WoSign)的 SSL 证书签发问题持续发酵。

9 月 30 日苹果公司于 iOS 可信根证书列表中宣布屏蔽其对沃通中级 CA 证书 WoSign CA Free SSL Certificate G2 的信任,并将视调查进展对沃通 和 StartCom 采取进一步行动。沃通并不处于苹果产品的可信根证书列表中,而是通过与 StartCom 和 Comodo 的交叉签名来建立其于苹果产品中的信任。

为了避免影响现有的沃通证书持有者,于 2016 年 9 月 19 日前签发且登记在证书透明度Certificate Transparency公共日志服务器上的证书仍将被信任。但鉴于沃通和 StartCom 并未积极登记其于 2015 年及之前签发的证书,且 2016 年上半年签发的证书均未登记,2016 年 9 月 19 日前获签发的沃通证书持有者仍有可能受到影响。担心受到影响的用户可于 Certificate Search 及 Google Transparency Report 中检查所持有证书的登记状态。

尽管沃通近期坏消息不断,但值得注意的是 Mozilla 仍未正式决定对沃通和StartCom 的处罚,亦未对其信任状态采取任何实际行动,之前发布的报告仅代表调查小组的建议。

针对这一调查结果,Mozilla 与奇虎 360(据奇虎 360 称,它共计持有 84% 的沃通股份)、StartCom 和沃通的代表于 10 月 5 日在伦敦召开会议,讨论下一步行动,Mozilla 将在不久后公布其计划。 

10 月 7 日,沃通公布了它的最新事故报告,CEO 王高华正式宣布辞职。

在沃通的报告中,王高华称他在 2015 年通知其母公司奇虎 360,沃通有意收购 StartCom,这项收购计划得到了奇虎的支持。2015 年 8 月沃通与 StartCom 达成了收购协议,但最终付款(第一阶段)是在 2016 年 9 月完成的。沃通辩解称没有更早披露收购 StartCom 是想等到股权投资的第一阶段工作完成。

在报告中,沃通承认它在 2016 年 1 月 1 日之后签发了 64 个倒填日期的 SHA-1 证书,王高华表示承担错误的责任。

奇虎决定,StartCom 将与沃通分开运营,StartCom 将由奇虎直接管理,奇虎首席安全官谭晓生将担任 StartCom 的主席,Inigo Barreira 担任 StartCom 的 CEO,而王高华将不再担任沃通 CEO。

via:[1][2]



最新评论

[1]
hsrzq [Chrome 53.0|Mac 10.12] 发表于 2016-10-09 10:08 的评论:
又是360,经常不按规则来的货色,刚搞搜索的时候就不遵巡robots协议,被全民吐槽,后来貌似遵巡了,但又伪造百度的爬虫。现在又搞出这事来。在中国对安全有要求的公司,一般都是全面禁用360的任何产品的
来自浙江杭州的 Chrome 52.0|Windows 7 用户 2016-11-02 15:03 6 回复
从技术角度讲 360确实是一家很有能力的公司,其他情况看利益方取舍和思考

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。