SSL信息10月24日,Mozilla在其安全博客公布了对沃通CA和StartCom的最终处理措施。Mozilla 决定不再信任目前包含在 Mozilla 根证书项目中的沃通根证书(Root certificate)和StartCom 根证书今后颁发的服务器证书。即:它不再信任在10月21日之后签发的沃通CA证书,并从 Firefox 51 起移除对4个沃通根证书的信任。
Mozilla 发现 沃通(WoSign)证书颁发机构(Certificate Authority;CA) 发生许多技术与管理上的错误。最严重的是,其他 CA 为安全性考虑,已经从 2016 年 1 月 1 日起停止签发 SHA-1 SSL 证书,但 Mozilla 发现沃通窜改了该 SSL 证书的日期,就为了规避此停止颁发日期。此外,Mozilla 还发现在沃通并购同业StartCom并完整取得其经营权之后,也未依照 Mozilla 政策而公开披露此并购行为。在整理相关有效数据证实所言非虚之前,沃通与 StartCom 的负责人更对上述指控一概否认。
基于公司负责人表现的欺瞒行为,Mozilla 决定不再信任目前包含在 Mozilla 根证书项目中的沃通根证书(Root certificate)和StartCom 根证书今后颁发的服务器证书。
对此,Mozilla采取了下列具体措施:
1.针对有效期起始日期在 2016 年 10 月 21 日之后的证书,且证书链中包含以下受影响根证书,现一律取消对其的信任。如果被(以任何方式)发现继续通过窜改日期欲规避此控制方式的行为,Mozilla 将立刻且永久撤销受影响的根证书。
- 此更改将自Firefox 51 版本起生效。
- 程序代码将通过下列主体唯一识别名称(Subject Distinguished Names)来识别根证书,因此控制行为也将套用到这些根证书的交叉证书(Cross-certificates)。
CN=CA 沃通根证书,OU=null,O=WoSign CA Limited,C=CN
CN=Certification Authority of WoSign,OU=null,O=WoSign CA Limited,C=CN
CN=Certification Authority of WoSign G2,OU=null,O=WoSign CA Limited,C=CN
CN=CA WoSign ECC Root,OU=null,O=WoSignCA Limited,C=CN
CN=StartCom Certification Authority,OU=SecureDigital Certificate Signing,O=StartCom Ltd.,C=IL
CN=StartCom Certification Authority G2,OU=null,O=StartCom Ltd.,C=IL
2. 将先前查明的由受影响根证书签发的窜改了日期的SHA-1 证书加入到 OneCRL。
3. 不再接受安永会计师事务所(香港)(Ernst & Young Hong Kong)的审计报告。
4. 未来将择期自 Mozilla 根证书数据库中移除受影响的根证书。如果沃通的新根证书达到可接受的标准,Mozilla 可能会根据沃通的规划来调整移除证书的确切日期,以便将其客户迁移至新的根证书。否则 Mozilla 将于 2017 年 3月之后的任一时间移除根证书。
5. Mozilla 保留采取进一步或者其它措施的权利。
如果网站所有者在 2016 年 10 月 21 日之后,接收到以上两家 CA 之一所签发的证书,则该证书将于 Mozilla 产品(如 Firefox 51 或以后的版本)中失效,除非这两家证书颁发机构提供了使用不同主体唯一识别名称的新的根证书,并且手动导入了对应于服务器证书的根证书。在Mozilla 的根证书数据库纳入新的根证书之前,该网站的用户也必须手动导入新的根证书。
如 Bug #1311824、Bug #1311832 分别对沃通以及 StartCom 所述,此两家 CA 均可重新申请加入新的(替代)根证书。
Mozilla 安全团队认为相关回应措施与 Mozilla 政策非常一致。若其他 CA 也通过类似的欺瞒手段,企图规避 Mozilla 的 CA 证书策略、CA/Browser Forum Baseline Requirements,或是 Mozilla 负责人的直接询问,Mozilla 均将采用相同的应对方式。
(来源:Mozilla安全博客)