SSL信息有关中国数字证书颁发机构 WoSign(沃通)的违规问题依然还在发酵中 ,这次加入屏蔽的是苹果公司。
此前 Mozilla 有关 WoSign 的处理意见是建议 在 Firefox 浏览器的根证书列表吊销 WoSign 新签发的数字证书 。
Mozilla 也发布了长达 13 页的详细的调查报告,不过目前这项举措仍然还处于讨论状态未更新到 Firefox 中。
而苹果公司的做法看起来就比较果断了,9月30日 Apple 于 iOS 可信根证书列表中宣布屏蔽其对中级CA WoSign CA Free SSL Certificate G2( CA 沃通免费 SSL 证书 G2)的信任,并将视调查进展对 WoSign/StartCom 采取进一步措施,StartCom 已经被 WoSign 收购。
实际上WoSign 一开始就并不处于 Apple 可信根证书列表中,而是通过与 StartCom 和 Comodo 的交叉签名来建立其于 Apple 产品中的信任。
为了避免影响到现有的 WoSign 证书持有者,在 2016 年 9 月 19 日前签发的且已经登记在证书透明度公共日志服务器上的证书仍然被信任。
但鉴于 WoSign/StartCom 并未积极登记其于2015年及之前签发的证书,且2016年上半年签发的证书均未登记。
所以2016年9月19日前获签发的 WoSign 证书持有者仍有可能不被 Apple 信任,担心受到影响的用户可于 Certificate Search 及 Google Transparency Report 检查所持有证书的登记状态。
针对 Mozilla 的调查结果 Qihoo 360 和 StartCom 已经要求下周二与 Mozilla 的代表在伦敦举行会议商讨。
而 WoSign 本身及其 CEO 王高华拒绝参加会议,Qihoo 360 是 WoSign 的最大股东。
(来自:Solidot奇客)