Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


Mozilla 做出不再信任沃通 CA 的决定,沃通回应打一折

2016-10-26 08:00    评论: 3    

Mozilla 对沃通(WoSign)的处罚终于落定。

前一段时间,Mozilla 就沃通 CA 违规的问题,于 8 月 24 日发起了针对沃通 CA 的调查,并发布了一个问题列表。之后在 10 月 5 日, Mozilla、奇虎 360 、StartCom 和沃通在伦敦举行了闭门商谈,讨论下一步行动。

10 月 20 日,Mozilla 公布了对沃通 CA 的最终处理意见

  • 它不再信任在 10 月 21 日之后签发的沃通 CA 证书
  • 从 Firefox 51 (预计将在 2017 年 1 月 23 日发布)起,移除之前预置的 4 个沃通根证书:
    1. CN=CA 沃通根证书, OU=null, O=WoSign CA Limited, C=CN
    2. CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN 
    3. CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
    4. CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN

但是从这 4 个根证书签发的所有代码签名证书、客户端证书、签名平台(WoSignDoc)均不受任何影响。10 月 21 日(包括 21 日)之前签发的所有 SSL 证书也都不受任何影响,都能正常被 Mozilla 的火狐浏览器信任。

预计 Mozilla 的这一决定也有可能被其它主流浏览器所接纳。

此外,Mozilla 提出了六点操作要求:

  1. 提供实施整改计划列表,确保将来不会违例 Mozilla 的 CA 证书策略和 CA/Browser 论坛的基准要求。
  2. 实施整改,并更新其 CP/CPS 来完整描述其改进过程。CP/CPS 必须明确申明禁止倒填超过一天前的证书。
  3. 对所做的整改,提供来自 Mozilla 所认可的 WebTrust 鉴证机构的面向公众的认证。该审计可能需要作为年度 WebTrust CA 审计的一部分。
  4. 提供审计认证,对全部业务进行审计,确认合规 CA/Browser 论坛的基准要求。该审计可能需要作为年度 WebTrust CA 审计的一部分。
  5. 提供审计认证,对 CA 的签发基础设施可以顺利完成执行完整的安全审计。
  6. 所有签发的证书 100% 嵌入证书透明度(CT)信息,嵌入的 SCT 至少有一条来自谷歌,一条来自谷歌之外。

2017 年 6 月 1 日后,在满足 Mozilla 提出的上述 6 点操作要求后,沃通 CA 可以重新走正常申请 Mozilla 根认证流程,重新申请新的根证书预置。

沃通对此表示遗憾, 并宣布:

  1. 将更新数字证书商店Buy网站,从10月22日起,所有从沃通4个根证书下签发的所有收费SSL证书全部一折销售;免费SSL证书继续停止开放;
  2. 将增加一个产品选项,用户可以选购从新的沃通(WoSign)中级根证书下签发的支持所有浏览器(包括火狐浏览器)的SSL证书,在过渡期八折优惠。此中级根证书将由全球信任的其他CA根证书签发,支持所有浏览器和所有新老终端设备。此项产品升级计划一个月内完成并为广大用户提供证书服务;
  3. 将积极按照Mozilla提出的6点要求进行操作,争取在2017年6月1日之后,尽快完成新根证书在各个浏览器系统的预置工作;
  4. 已经并继续对所有系统进行全面的安全审计并加固升级改造,同时完善各种内控管理制度,组建国际标准研究团队和内审团队,确保所有系统100%符合国际标准,所有业务操作严格按照国际标准要求操作,加强员工严格按照标准操作的执行力度,违者将受到严厉惩处。

(题图来自:deviantart.net

发表评论


最新评论

我也要发表评论

绿色圣光 [Firefox 45.0|GNU/Linux] 2016-10-26 21:43
全部手动设置为不信任!
3 回复
linux [Chrome 54.0|Mac 10.11] 2016-10-26 18:31
1
delectate [Firefox 49.0|Windows 10] 发表于 2016-10-26 10:27 的评论:
这条新闻的传播路径:
solidot--cnbeta---一些其他媒体---***---linuxcn。

自从360私有化,动作挺大啊,先是干掉了云盘,然后是整死了沃通,有把刷子。不过mozilla这么折腾没有用,360有倒填时间大法(举例:当前时间2016-10-26,但是他写成10月21日以前签的整数,mozilla就不会取消信任)。对付流氓,你还真没招儿。
错了,它可以倒填,但是它不能在 CT 上作假。
3 回复
delectate [Firefox 49.0|Windows 10] 2016-10-26 10:27
这条新闻的传播路径:
solidot--cnbeta---一些其他媒体---***---linuxcn。

自从360私有化,动作挺大啊,先是干掉了云盘,然后是整死了沃通,有把刷子。不过mozilla这么折腾没有用,360有倒填时间大法(举例:当前时间2016-10-26,但是他写成10月21日以前签的整数,mozilla就不会取消信任)。对付流氓,你还真没招儿。
7 回复

热点评论

delectate [Firefox 49.0|Windows 10] 2016-10-26 10:27
这条新闻的传播路径:
solidot--cnbeta---一些其他媒体---***---linuxcn。

自从360私有化,动作挺大啊,先是干掉了云盘,然后是整死了沃通,有把刷子。不过mozilla这么折腾没有用,360有倒填时间大法(举例:当前时间2016-10-26,但是他写成10月21日以前签的整数,mozilla就不会取消信任)。对付流氓,你还真没招儿。
7
绿色圣光 [Firefox 45.0|GNU/Linux] 2016-10-26 21:43
全部手动设置为不信任!
3
linux [Chrome 54.0|Mac 10.11] 2016-10-26 18:31
错了,它可以倒填,但是它不能在 CT 上作假。
3
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。