Mozilla 披露的 StartCom(StartSSL) 和沃通(WoSign)的 SSL 证书签发问题持续发酵。
9 月 30 日苹果公司于 iOS 可信根证书列表中宣布屏蔽其对沃通中级 CA 证书 WoSign CA Free SSL Certificate G2 的信任,并将视调查进展对沃通 和 StartCom 采取进一步行动。沃通并不处于苹果产品的可信根证书列表中,而是通过与 StartCom 和 Comodo 的交叉签名来建立其于苹果产品中的信任。
为了避免影响现有的沃通证书持有者,于 2016 年 9 月 19 日前签发且登记在证书透明度公共日志服务器上的证书仍将被信任。但鉴于沃通和 StartCom 并未积极登记其于 2015 年及之前签发的证书,且 2016 年上半年签发的证书均未登记,2016 年 9 月 19 日前获签发的沃通证书持有者仍有可能受到影响。担心受到影响的用户可于 Certificate Search 及 Google Transparency Report 中检查所持有证书的登记状态。
尽管沃通近期坏消息不断,但值得注意的是 Mozilla 仍未正式决定对沃通和StartCom 的处罚,亦未对其信任状态采取任何实际行动,之前发布的报告仅代表调查小组的建议。
针对这一调查结果,Mozilla 与奇虎 360(据奇虎 360 称,它共计持有 84% 的沃通股份)、StartCom 和沃通的代表于 10 月 5 日在伦敦召开会议,讨论下一步行动,Mozilla 将在不久后公布其计划。
10 月 7 日,沃通公布了它的最新事故报告,CEO 王高华正式宣布辞职。
在沃通的报告中,王高华称他在 2015 年通知其母公司奇虎 360,沃通有意收购 StartCom,这项收购计划得到了奇虎的支持。2015 年 8 月沃通与 StartCom 达成了收购协议,但最终付款(第一阶段)是在 2016 年 9 月完成的。沃通辩解称没有更早披露收购 StartCom 是想等到股权投资的第一阶段工作完成。
在报告中,沃通承认它在 2016 年 1 月 1 日之后签发了 64 个倒填日期的 SHA-1 证书,王高华表示承担错误的责任。
奇虎决定,StartCom 将与沃通分开运营,StartCom 将由奇虎直接管理,奇虎首席安全官谭晓生将担任 StartCom 的主席,Inigo Barreira 担任 StartCom 的 CEO,而王高华将不再担任沃通 CEO。