Mozilla声称PROCERT并没有充分了解他们的职责

针对29个误发证书引发的事件，Mozilla已决定取消对PROCERT的信任，并将其从根计划中移除。该决定于21日早些时候发布在Mozilla dev.security.policy forum中。

在声明中，Gervase Markham写道：

考虑到[关于CA的运作和做法的大量问题]，我们似乎很清楚，PROCERT没有并且不继续充分意识到各种RFC，CA/B论坛的基准要求和Mozilla根存储策略。 他们没有表现出对其发行管道的充分控制或对结果的充分检查，以避免定期制定违反一个或多个这些文件要求的证书。 PROCERT还通过对CA Communications的回应向我们保证，某些事情是真实的，显然不是这样（例如，他们声称使用正确随机的序列号）。

此外，Mozilla对PROCERT的回应方式和处理态度感到不满。

那么PROCERT何以至此呢？

PROCERT是一个小型委内瑞拉CA，属于政府附属机构，仅颁发了几百份公共证书。

最早的问题是在8月6日被报告的。Jonathan Rudenberg和Alex Gaynor报告了最初的问题，Andrew Ayer在本月晚些时候发现了其他的问题。PROCERT在无意中帮助分享了2016年通过1024为密钥颁发的一个证书，这一行为是在一次试图证明不同违规行为的失败尝试中出现的。

总共发现了7种不同的违规行为。Mozilla在8月16日正式提出了这一问题，而PROCERT目前还没有解决这一问题。但对于其中的许多问题，它的代表们说的最多的就是“正在采取措施来避免这些漏洞”，尽管这些代表一直被Mozilla要求提供一份完整的事件报告。为一个“.local”域名颁发证书；为一个URL，而不是一个域颁发证书；为预留的IP地址颁发证书。但是，Procert拒绝了这些要求，并在今年早些时候为192.168.244.100域颁发了一份证书，但该IP地址是一个不能注册的内部域名。作为主题备用名称（SAN）未包含公共名称（CN）；使用非随机的序列号；对不存在的证书做出“良好的”OCSP响应；以1024位密钥颁发证书。

各种奇葩行为让浏览器厂商汗颜不止，缺乏对行业标准的了解，甚至反应错误地认为一个简单的撤回就够了的作死行为，终结了PROCERT。毕竟这根本就不Pro啊......

PROCERT对这些问题的回应不足。 虽然他们撤销（大部分但并非全部）被证明有问题的证书，但他们的书面答复数量却有限，非常肤浅。 在某些情况下，很明显，他们没有理解提出的问题。 据我们所知，他们没有进行任何根本原因分析，这可能使我们有信心，这种或类似性质的问题不会再发生。 我们对他们的系统了解甚少，甚至不确定他们有什么安全分析员。

所以PROCERT就这么玩完儿了，其SSL证书将不再受信任，因为其根目前已经从Mozilla程序中删除，虽然该CA目前仍然受苹果和微软的信赖，但两家都倾向于与Mozilla（以及已经不信任PROCERT的Google）做出的决定相一致。

稿源： The ssl store