Mozilla 正在讨论是否需要吊销多次出现安全问题的中国 CA 机构 Wosign

在错综复杂的全球互联网中 HTTPS 已经成为保证用户数据安全的必备措施之一。 然而如果作为 HTTPS 基础内容的 SSL 证书也容易出现问题那么互联网的安全性将大大降低。 日前在 Mozilla 安全邮件列表上已经有开发者 正在讨论有关中国 CA 机构 Wosign 的安全事故问题 。 在 2015 年 4 月至 2016 年 7 月 Wosign 已经被发现了三起安全事故，这凸显了 Wosign 在验证流程上存在的问题。

第一起是 2015 年 4 月份时 Wosign 被发现允许申请免费 SSL 证书的用户使用任意端口进行验证，其违反了限制端口和路径的使用规定。

第二起是 2015 年 6 月份时 Wosign 被发现允许申请者通过验证子域名控制权的方式获得主域名的控制权。 例如在 Github 上获得了二级域名并前往 Wosign 申请免费证书时通过了验证，然而让人意想不到的是除了该二级域名的证书会得到批准外 Github.com 主域名竟然也可以获得 SSL 证书。 一旦有人利用 Wosign 的这个漏洞申请对应网站的证书则可以用来劫持用户访问并且浏览器不会提示安全问题。

第三起是今年 7 月份与 Wosign 有关联的 CA 机构 StartCom 被发现允许证书倒着填写日期，倒着填写日期则可以绕过浏览器对 SHA-1 算法的限制（由于 SHA-1 算法的安全性问题现在多个浏览器已经不再支持 SHA-1 证书）。

Mozilla 目前已经考虑对 Wosign 采取进一步的行动，包括直接吊销 Wosign 的证书—— 这将影响大量使用 Wosign 签发证书的网站。

相关事件： 2015 年 3 月份时 Google 发现埃及中级 CA 机构 MCS 伪造了 Gmail 的 SSL 证书 ，伪造的证书用来监控 MCS 雇员的通讯以及其他目的。

Google 在发现后立即吊销了 MCS 的 CA 证书，并且将 MCS 证书的上一级颁发者 CNNIC 根证书一并吊销了。

尽管后来 CNNIC 宣称对 MCS 伪造 Google 旗下产品证书的事件不知情，但也显示了 CNNIC 对证书管理不善导致了这次事件。

随后 Mozilla 也加入了 Google 行列对 CNNIC 在 2015 年 4 月 1 日及之后颁发的所有证书进行了吊销。