沃通SSL证书事件全程回顾
2016年10月25日更新
Mozilla 于10月20日公布了对 沃通CA 的最终处理意见,它不再信任在10月21日之后签发的沃通CA证书,从 Firefox 51 起移除对4个沃通根证书的信任。
2016年10月01日更新
Apple Root Certificate Program 正式宣布在即将发布的安全更新中对沃通的 “WoSign CA Free SSL Certificate G2” 取消信任。所有已经发布到 CT 的旧证书不受影响。
2016年09月27日更新
就在昨天,Mozilla 公布了对沃通 CA 不当行为的调查报告,正式提议将停止信任 WoSign 和 StartCom 签发的新证书,最短期限为一年,一年之后如果 WoSign 和 StartCom 能满足条件 Mozilla 可以再次接纳它们。之前给 WoSign 提供审计报告的香港安永被永远列入了黑名单,而且如果 WoSign 还有倒签的事件出现,Mozilla 会立即并永远对其不信任。
沃通丑闻曝光
去年各大浏览器吊销 CNNIC 根证书的事情才过去一年,最近国内 CA 沃通又曝出来一系列的丑闻,而且这次沃通的问题似乎更多一些。我在前段时间给博客添加了 SSL 证书,对 HTTPS/SSL 有所接触,知道沃通 CA 有奇虎 360 公司背景,因此比较关注这次的事件,并且在第一时间本地吊销了沃通和 StartCom 的证书。
14 年的时候,v2ex 上就已经有人在讨论是否需要删除 Wosign 沃通的 SSL 证书了。
直到上个月在 Mozilla 的安全邮件列表上,开发者 Gervase Markham 称 Mozilla 正考虑是否对沃通CA采取行动,并列举了沃通存在的诸多问题。
允许任意端口验证
2015 年 4 月 23 日左右,沃通 CA 允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定。
只要认证子域名就可以签发根域名证书
2015 年 6 月,有申请者发现沃通免费证书服务存在问题,只要申请者证明他们拥有子域名,沃通就会给他们颁发根域的证书。这名申请者本来是想要申请一张「med.ucf.edu」的证书,不小心写成了「www.ucf.edu」,结果沃通居然同意了,颁发了一张根域名的证书给他。
为了进一步测试,研究人员用同样的方法针对 Github 的根域名实施了欺骗,众所周知,GitHub 是可以支持用户创建自己的 {username}.github.io 子域名的。因此,当申请者证明自己有子域控制权后,沃通同样分发了 GitHub 根域名的证书。
研究人员向沃通报告了这个情况,并以 GitHub 为例,结果沃通只是吊销了 GitHub 的证书。之所以只吊销了一个证书,可能是因为沃通没有能力再去一个一个追踪所有误发的根证书。研究人员最近联系上了 Google,并且报告了 ucf.edu 证书一年之后还没有被吊销的问题。
StartCom 允许证书倒填日期
2016 年 7 月,被沃通秘密收购的 StartCom,被发现允许对证书的签署日期进行倒填。
由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。沃通为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底
更多相关问题
Mozilla 还在网上列举出了不限于以上三个问题的已确认或有嫌疑的与沃通CA相关的问题,比如:
沃通 CA 在 2015 年 4 月 9 日到 4 月 14 日之间签发了 392 个相同序列号的证书;
2015 年 12 月,沃通 CA 使用中国制定 SM2 算法签发了两个证书,违反了 CA/Browser Forum Baseline Requirements 的要求,沃通回应称这些证书是测试用的;
秘密收购 StartCom CA 违反了 Mozilla 的 CA 政策。
另外,在知乎上也有对这个事件的相关讨论:如何看待中国沃通wosign偷偷收购自己的根CA startcom并且签发github.com的证书?
沃通用 FUD 恐吓 Let’s Encrypt 用户
除此之外,沃通还通过邮件恐吓使用 Let’s Encrypt 免费 SSL 证书的用户(我的博客用的就是这家的免费 SSL 证书),建议用户使用自家的证书:
自行采取行动
本地吊销证书
在 Mozilla 和 Google 采取行动之前,我们可以先在本地做一些设置。
因为 StartCom 和沃通采用交叉签名,如果浏览器不信任沃通 CA ,那么只要 StartCom CA 仍然被信任,任何沃通 CA 签发的证书仍然被视为是有效的。因此为了安全起见,我在本地吊销了 Wosign 和 StartCom 的所有证书:
在运行
或者命令行中打开 certmgr.msc
,在受信任的根证书颁发机构
和中间证书颁发机构
列表中禁用所有的沃通/ Wosign 和 StartCom 证书,并将它们导出,然后统一导入到未受信任的发布者
中。
注意:吊销这两家的证书可能会导致无法打开部分国内外网站。
更换网站证书
我的博客采用的是 Let’s Encrypt 的 SSL 证书。
这是一个由 ISRG(Internet Security Research Group,互联网安全研究小组)提供的免费、自动化、开放的证书签发服务。而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let’s Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。
申请 Let’s Encrypt 证书不但免费,还非常简单,虽然每次只有 90 天的有效期,但可以通过脚本定期更新,配好之后一劳永逸。
所以还在使用沃通 CA 证书的朋友,建议换用 Let’s Encrypt 。
分类
评论
日志
推荐
友情链接
存档Archives
- 2019年4月(3)
- 2019年3月(2)
- 2019年2月(7)
- 2019年1月(6)
- 2018年11月(2)
- 2018年10月(17)
- 2018年9月(13)
- 2018年8月(19)
- 2018年7月(5)
- 2018年6月(15)
- 2018年5月(11)
- 2018年4月(17)
- 2018年3月(33)
- 2018年2月(6)
- 2018年1月(41)
- 2017年12月(10)
- 2017年11月(27)
- 2017年10月(17)
- 2017年9月(17)
- 2017年8月(11)
- 2017年7月(20)
- 2017年6月(12)
- 2017年5月(31)
- 2017年4月(12)
- 2017年3月(26)
- 2017年2月(13)
- 2017年1月(21)
- 2016年12月(21)
- 2016年11月(24)
- 2016年10月(23)
- 2016年9月(12)
- 2016年8月(23)
- 2016年7月(14)
- 2016年6月(10)
- 2016年5月(7)
- 2016年4月(3)
- 2016年3月(9)
- 2016年2月(4)
- 2016年1月(6)
- 2015年12月(9)
- 2015年11月(7)
- 2015年10月(5)
- 2015年9月(8)
- 2015年8月(3)
- 2015年6月(2)
- 2015年4月(1)
- 2015年3月(1)
- 2015年1月(1)
- 2014年10月(1)
- 2014年9月(1)
- 2014年8月(1)
- 2014年7月(2)
- 2014年6月(3)
- 2014年5月(7)
- 2014年4月(10)
- 2014年3月(5)
- 2014年2月(13)
- 2014年1月(6)
- 2013年12月(8)
- 2013年11月(16)
- 2013年10月(13)
- 2013年9月(20)
- 2013年8月(31)
- 2013年7月(18)
- 2013年6月(76)
- 2013年5月(49)
- 2013年4月(33)
- 2013年3月(55)
- 2013年2月(44)
- 2013年1月(98)
- 2012年12月(84)
- 2012年11月(40)
- 2012年10月(16)
- 2012年9月(59)
- 2012年8月(123)
- 2012年7月(257)
- 2012年6月(207)
- 2012年5月(49)
- 2012年4月(24)
- 2012年3月(48)
- 2012年2月(13)
发表评论: