10月31日,Google在其安全博客中宣布了:从Chrome 56开始,不再信任WoSign和StartCom在2016年10月21日00:00:00 UTC后颁发的证书。
1、早在9月30日 ,Apple 已于 iOS 可信根证书列表中宣布:屏蔽其对中级CA WoSign CA Free SSL Certificate G2( CA 沃通免费 SSL 证书 G2)的信任。
为了避免影响到现有的 WoSign 证书持有者,在 2016 年 9 月 19 日前签发的且已经登记在证书透明度公共日志服务器上的证书仍然被信任。
但鉴于 WoSign/StartCom 并未积极登记其于2015年及之前签发的证书,且2016年上半年签发的证书均未登记。
所以2016年9月19日前获签发的 WoSign 证书持有者仍有可能不被 Apple 信任,担心受到影响的用户可于 Certificate Search 及 Google Transparency Report 检查所持有证书的登记状态。
2、之后10月24日,Mozilla在其安全博客公布了对沃通CA和StartCom的最终处理措施:Mozilla 决定不再信任目前包含在 Mozilla 根证书项目中的沃通根证书(Root certificate)和StartCom 根证书今后颁发的服务器证书。即:它不再信任在10月21日之后签发的沃通CA证书,并从 Firefox 51 起移除对4个沃通根证书的信任。点击【事件回顾】 可查看关于沃通CA安全事件的详细过程。