Mozilla将密封发出startssl新证书
Mozilla的火狐浏览器背后是沃通(wosign)和startcom秘密采集(著名startssl或其产品)的两个CA一年新颁布的禁止在所有的SSL证书。Mozilla的工程师在研究一系列可疑的SSL证书的SHA-1两CA发布公告禁令两CA试图规避SHA-1中止政策
The main reason is that the major browsers decide to stop accepting the old SHA-1 signature certificate from January 1, 2016.Mozilla accused wotone year also issued SHA-1 certificate, and issuing antedated to last December.
虽然Mozilla还允许其他CA在2016年1月1日发布,SHA-1证书为例,赛门铁克,但是他们只允许那些已经通过复杂的审批过程可以这样做,显然不同意沃通。
沃通买了秘密startcom
此外,沃通似乎否认收购CA在以色列,startcom。Mozilla表示沃通2015年11月1日,100%收购startcom。另一方面,据奇虎360,其共持有84%股份的沃通。但信息以前沃通否认或拒绝评论。
此外,显示在Mozilla披露技术细节,startcom已开始使用沃通设施发出新的证书。此外,startcom和沃通采用2016的回溯方式发行SHA-1证书。Mozilla的安全工程师也显示了这一案件的细节。
Mozilla基金会的调查发现,支付处理机构,曾与GeoTrust CA多年,新手突然部署与startcom在六月中旬的SHA-1签名证书。然而,它从来没有过startcom之前。证书似乎是在2015年12月20日发布,和大量的SHA-1证书在同一日期startcom发行。Mozlla发现这些证书被部署在2016,这是不正常的。这显然是一个战略,利用反向充气日期避免SHA-1中止。
这些问题和更多其他使至少一年不再信任和startcom沃通SSL证书Mozilla的决定。
它可以永久密封。
Mozilla表示,临时封条只适用于两家公司颁发的最新证书,也不影响分发给客户的证书。如果两家公司在一年关闭后未通过一系列检查,Mozilla将准备封存两家公司的证书。
Ldquo;很多人都盯着网络的PKI安全体系,如果发现早(不管什么原因),Mozilla将立即取消永久沃通和startcom根证书的信任。报告说。
此外,Chrome和其他产品也计划杀死他们。Ldquo;其他浏览器厂商和根证书商店运营商也将作出自己的决定。我们把这些信息放在这份文件中,这样他们就可以理解我们为什么做出决定并做出相应的决定。Mozilla说。