此前, 蘋果已經(jīng)率先于?9 月 30 日將沃通的根證書從證書存儲庫中移除了。雖然沃通及其被其秘密收購的 StartCom 均存在不同程度的 CA 違規(guī)問題,但是蘋果和 Mozilla 在最近的操作中都只對沃通采取了處罰,而谷歌的處置則更進一步,也同時對 StartCom 進行了同等處罰。
谷歌在其通告中說:
谷歌已經(jīng)查明了沃通和 StartCom 這兩個 CA 沒有維持對其作為 CA 的高標準預期,因此根據(jù)我們的根證書策略[3],谷歌 Chrome 將不再信任它們。這個觀點類似于蘋果和 Mozilla 的根證書計劃發(fā)出的最近公告。
在 2016 年 8 月 17 日,谷歌接到了 GitHub 安全團隊的通告,稱沃通在沒有得到他們授權的情況下簽發(fā)了一個 GitHub 的證書。這促使 GitHub 安全團隊和 Mozilla 合作對沃通進行了調查,發(fā)現(xiàn)了沃通的若干違規(guī)簽發(fā)證書的問題。該調查表明沃通有意地規(guī)避了瀏覽器限制(即對 SHA-1 簽名證書的失效計劃)和對 CA 的要求。更進一步的,還發(fā)現(xiàn)了另外一家 CA 公司 StartCom 也被沃通秘密收購,這違反了對 CA 公司被收購需要披露信息的要求。而且,沃通公司還替換了原 StartCom 的基礎設施、人員、政策和簽發(fā)系統(tǒng)。面對這種情況,沃通和 StartCom 管理層還嘗試誤導社區(qū)這兩個公司之間的收購事實和關系。
谷歌于 10 月 31 日發(fā)布了 Chrome 56 的 Dev 渠道版本。谷歌決定從該版本的 Chrome 開始,不再信任沃通和 StartCom 于 2016 年 10 月 21 日之后簽發(fā)的證書。在這個日期之前簽發(fā)的證書依舊信任,但是之后,除非他們遵循?Chrome 的證書透明策略,將只能對其已有客戶的域名簽發(fā)。按照計劃,Chrome 56 將于 2017 年 1 月正式發(fā)布穩(wěn)定版,因此在此之前,使用這兩個 CA 所簽發(fā)證書的網(wǎng)站應該盡快遷移到其它被 Chrome 信任的 CA 所簽發(fā)的證書下。
沃通和 StartCom 的客戶會發(fā)現(xiàn)他們的證書在 Chrome 56 中不再有效。并且,更嚴厲的是,谷歌還說:
在接下來的 Chrome 版本中,還會進一步減少對這兩個 CA 簽發(fā)的證書的支持,直到最終完全移除對這兩個 CA 的信任!
并且稱:
沃通和 StartCom 的任何試圖規(guī)避處罰的做法都將導致這兩個 CA 被馬上全部移除!
沃通的證書在國內(nèi)使用比較多,而 StartCom 的 StartSSL 證書則在全球范圍內(nèi)有廣泛的使用,尤其是它的免費證書有很多個人網(wǎng)站在使用。鑒于 Chrome 在瀏覽器市場上已經(jīng)占據(jù)了一半左右的份額,因此其帶來的影響將是毀滅性的。
目前,主流瀏覽器里面,Mozilla 的 Firefox 、蘋果的 Safari 和谷歌的 Chrome 都已經(jīng)做出了相應的反應,但是我們目前還沒見到微軟對此的跟進和表態(tài)。似乎微軟在 CA 策略方面一向比較散漫,因此,IE 和 Edge 瀏覽器的反應或許還需要一段時間,抑或不會采取措施。
來源:Linux中國