Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


谷歌也不信任沃通的证书了,StartCom CA 一并受到同等处罚

2016-11-2 08:24    评论: 20    

继 Mozilla 做出对沃通WoSign处罚决定之后,谷歌也跟随了这一做法,从 Chrome 56 开始,不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21 日之后所颁发的证书。

此前, 苹果已经率先于 9 月 30 日将沃通的根证书从证书存储库中移除了。虽然沃通及其被其秘密收购的 StartCom 均存在不同程度的 CA 违规问题,但是苹果和 Mozilla 在最近的操作中都只对沃通采取了处罚,而谷歌的处置则更进一步,也同时对 StartCom 进行了同等处罚。

谷歌在其通告中说:

谷歌已经查明了沃通和 StartCom 这两个 CA 没有维持对其作为 CA 的高标准预期,因此根据我们的根证书策略,谷歌 Chrome 将不再信任它们。这个观点类似于苹果和 Mozilla 的根证书计划发出的最近公告。

在 2016 年 8 月 17 日,谷歌接到了 GitHub 安全团队的通告,称沃通在没有得到他们授权的情况下签发了一个 GitHub 的证书。这促使 GitHub 安全团队和 Mozilla 合作对沃通进行了调查,发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制(即对 SHA-1 签名证书的失效计划)和对 CA 的要求。更进一步的,还发现了另外一家 CA 公司 StartCom 也被沃通秘密收购,这违反了对 CA 公司被收购需要披露信息的要求。而且,沃通公司还替换了原 StartCom 的基础设施、人员、政策和签发系统。面对这种情况,沃通和 StartCom 管理层还尝试误导社区这两个公司之间的收购事实和关系。

谷歌于 10 月 31 日发布了 Chrome 56 的 Dev 渠道版本。谷歌决定从该版本的 Chrome 开始,不再信任沃通和 StartCom 于 2016 年 10 月 21 日之后签发的证书。在这个日期之前签发的证书依旧信任,但是之后,除非他们遵循 Chrome 的证书透明策略,将只能对其已有客户的域名签发。按照计划,Chrome 56 将于 2017 年 1 月正式发布稳定版,因此在此之前,使用这两个 CA 所签发证书的网站应该尽快迁移到其它被 Chrome 信任的 CA 所签发的证书下

沃通和 StartCom 的客户会发现他们的证书在 Chrome 56 中不再有效。并且,更严厉的是,谷歌还说:

在接下来的 Chrome 版本中,还会进一步减少对这两个 CA 签发的证书的支持,直到最终完全移除对这两个 CA 的信任!

并且称:

沃通和 StartCom 的任何试图规避处罚的做法都将导致这两个 CA 被马上全部移除!

沃通的证书在国内使用比较多,而 StartCom 的 StartSSL 证书则在全球范围内有广泛的使用,尤其是它的免费证书有很多个人网站在使用。鉴于 Chrome 在浏览器市场上已经占据了一半左右的份额,因此其带来的影响将是毁灭性的。

目前,主流浏览器里面,Mozilla 的 Firefox 、苹果的 Safari 和谷歌的 Chrome 都已经做出了相应的反应,但是我们目前还没见到微软对此的跟进和表态。似乎微软在 CA 策略方面一向比较散漫,因此,IE 和 Edge 浏览器的反应或许还需要一段时间,抑或不会采取措施。

发表评论


最新评论

我也要发表评论

youyoulemon [Chrome 54.0|Windows 10] 2016-11-5 13:23
[点击展开更多楼层]
3
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 13:21 的评论:
为什么不稍微科普点?
4
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 22:29 的评论:
整个事件其实我们连续报道了多篇了。不过这个事情还真没法再明白说了——明白的人自然明白其危害,不明白的人其实也根本不会意识到其危害。
5
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-3 10:39 的评论:
呵呵,
所以贵站的办站宗旨是什么呢?
是为了传播linux相关内容给精通系统、安全、网络各方面知识点的小伙伴?
是为了传播linux相关内容给linux感兴趣的初级小伙伴?
这文章跟此站宗旨有毛线冲突。。。
不是很懂你们吃瓜群众。
像我,在此站和freebuf抛出沃通证书问题的时候就把自己个人博客上的startcom证书给换成了let's encrypt了
关于证书问题,从CNZZ到现在的沃通,懂的自然会懂,不懂也没关系,正常上网并没有什么影响。

你想了解证书的危害可以翻翻freebuf等网站的历史文章,很详细也很方便,善用搜索引擎,自己动手丰衣足食。
别整天等着别人喂食,那和咸鱼有何区别?#滑稽
2 回复
linux [Chrome 54.0|Mac 10.11] 2016-11-5 11:40
1
来自广东广州的 Chrome 54.0|GNU/Linux 用户 发表于 2016-11-5 00:10 的评论:
哪里还有免费的证书可以申请么, 或者相当便宜的也可以
let's encrypt
回复
来自广东广州的 Chrome 54.0|GNU/Linux 用户 2016-11-5 00:10
哪里还有免费的证书可以申请么, 或者相当便宜的也可以
回复
来自广东深圳的 Chrome 52.0|GNU/Linux 用户 2016-11-4 16:08
沒怎麼關注,幾個月前早就幹掉這個證書了,加上Chrome跟Firefox老早就封殺了,至少對一般用戶來說沒什麼影響。這貨走CNZZ老路罷了,忽悠不了誰。
回复
hsrzq [Chrome 53.0|Mac 10.12] 2016-11-4 11:14
1
netb2c [Chrome 54.0|Fedora] 发表于 2016-11-2 10:46 的评论:
愈演愈烈。
2
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 22:31 的评论:
这下彻底完了。360这钱白瞎了,只能说,以他们的一向行事风格,致此后果并不意外。
360倒闭了都活该拍手称快弹冠相庆,只是可惜了咱中国为数不多的CA机构
11 回复
fz420 [Chrome 54.0|GNU/Linux] 2016-11-3 10:39
[点击展开更多楼层]
2
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 10:21 的评论:
这篇新闻是我写的。我下面评论了啊。其实一句话,尽快更换保平安。
3
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 13:21 的评论:
为什么不稍微科普点?
4
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 22:29 的评论:
整个事件其实我们连续报道了多篇了。不过这个事情还真没法再明白说了——明白的人自然明白其危害,不明白的人其实也根本不会意识到其危害。
呵呵,
所以贵站的办站宗旨是什么呢?
是为了传播linux相关内容给精通系统、安全、网络各方面知识点的小伙伴?
是为了传播linux相关内容给linux感兴趣的初级小伙伴?
回复
linux [Chrome 54.0|Mac 10.11] 2016-11-2 22:31
1
netb2c [Chrome 54.0|Fedora] 发表于 2016-11-2 10:46 的评论:
愈演愈烈。
这下彻底完了。360这钱白瞎了,只能说,以他们的一向行事风格,致此后果并不意外。
2 回复
linux [Chrome 54.0|Mac 10.11] 2016-11-2 22:30
1
来自广东广州的 Firefox 49.0|Ubuntu 用户 发表于 2016-11-2 11:47 的评论:
最后半句是错别字吧?  抑或=>亦或
吓得我赶紧用搜索引擎来验证我几十年来的用法。
回复
linux [Chrome 54.0|Mac 10.11] 2016-11-2 22:29
1
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 09:36 的评论:
站长只发个新闻,也不对新闻评论下(评论下此新闻对国内的吃瓜群众有何影响,或者有何可能的影响。。)
呵呵
2
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 10:21 的评论:
这篇新闻是我写的。我下面评论了啊。其实一句话,尽快更换保平安。
3
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 13:21 的评论:
为什么不稍微科普点?
整个事件其实我们连续报道了多篇了。不过这个事情还真没法再明白说了——明白的人自然明白其危害,不明白的人其实也根本不会意识到其危害。
回复
linux [Chrome 54.0|Mac 10.11] 2016-11-2 22:27
1
来自江苏南京的 Firefox 49.0|Mac 10.11 用户 发表于 2016-11-2 14:36 的评论:
可以趁1折买一个证书玩玩。
回复
linux [Chrome 54.0|Mac 10.11] 2016-11-2 22:25
[点击展开更多楼层]
2
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 10:21 的评论:
这篇新闻是我写的。我下面评论了啊。其实一句话,尽快更换保平安。
3
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 13:21 的评论:
为什么不稍微科普点?
4
来自云南昆明的 Firefox 50.0|Windows 10 用户 发表于 2016-11-2 22:12 的评论:
听西贝的喷友说是沃通很流氓,其背后是360
没错,本站有整个事件的相关线索,你可以跟着文章内的链接看看。
回复
来自云南昆明的 Firefox 50.0|Windows 10 用户 2016-11-2 22:12
1
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 09:36 的评论:
站长只发个新闻,也不对新闻评论下(评论下此新闻对国内的吃瓜群众有何影响,或者有何可能的影响。。)
呵呵
2
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 10:21 的评论:
这篇新闻是我写的。我下面评论了啊。其实一句话,尽快更换保平安。
3
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 13:21 的评论:
为什么不稍微科普点?
听西贝的喷友说是沃通很流氓,其背后是360
回复
来自上海的 Sogou Explorer 2|Windows 8.1 用户 2016-11-2 16:51
貌似国内好沃通的免费证书0.0
回复
来自江苏南京的 Firefox 49.0|Mac 10.11 用户 2016-11-2 14:36
可以趁1折买一个证书玩玩。
回复
fz420 [Chrome 54.0|GNU/Linux] 2016-11-2 13:21
1
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 09:36 的评论:
站长只发个新闻,也不对新闻评论下(评论下此新闻对国内的吃瓜群众有何影响,或者有何可能的影响。。)
呵呵
2
linux [Chrome 54.0|Mac 10.11] 发表于 2016-11-2 10:21 的评论:
这篇新闻是我写的。我下面评论了啊。其实一句话,尽快更换保平安。
为什么不稍微科普点?
回复
来自广东广州的 Firefox 49.0|Ubuntu 用户 2016-11-2 11:47
最后半句是错别字吧?  抑或=>亦或
回复
netb2c [Chrome 54.0|Fedora] 2016-11-2 10:46
愈演愈烈。
回复
linux [Chrome 54.0|Mac 10.11] 2016-11-2 10:21
1
fz420 [Chrome 54.0|GNU/Linux] 发表于 2016-11-2 09:36 的评论:
站长只发个新闻,也不对新闻评论下(评论下此新闻对国内的吃瓜群众有何影响,或者有何可能的影响。。)
呵呵
这篇新闻是我写的。我下面评论了啊。其实一句话,尽快更换保平安。
回复
fz420 [Chrome 54.0|GNU/Linux] 2016-11-2 09:36
站长只发个新闻,也不对新闻评论下(评论下此新闻对国内的吃瓜群众有何影响,或者有何可能的影响。。)
呵呵
回复
来自四川成都的 Chrome 54.0|Windows 10 用户 2016-11-2 08:52
出来混迟早是要还的
回复

热点评论

hsrzq [Chrome 53.0|Mac 10.12] 2016-11-4 11:14
360倒闭了都活该拍手称快弹冠相庆,只是可惜了咱中国为数不多的CA机构
11
youyoulemon [Chrome 54.0|Windows 10] 2016-11-5 13:23
这文章跟此站宗旨有毛线冲突。。。
不是很懂你们吃瓜群众。
像我,在此站和freebuf抛出沃通证书问题的时候就把自己个人博客上的startcom证书给换成了let's encrypt了
关于证书问题,从CNZZ到现在的沃通,懂的自然会懂,不懂也没关系,正常上网并没有什么影响。

你想了解证书的危害可以翻翻freebuf等网站的历史文章,很详细也很方便,善用搜索引擎,自己动手丰衣足食。
别整天等着别人喂食,那和咸鱼有何区别?#滑稽
2
linux [Chrome 54.0|Mac 10.11] 2016-11-2 22:31
这下彻底完了。360这钱白瞎了,只能说,以他们的一向行事风格,致此后果并不意外。
2
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。