在错综复杂的全球互联网中 HTTPS 已经成为保证用户数据安全的必备措施之一。 然而如果作为 HTTPS 基础内容的 SSL 证书也容易出现问题那么互联网的安全性将大大降低。 日前在 Mozilla 安全邮件列表上已经有开发者 正在讨论有关中国 CA 机构 Wosign 的安全事故问题 。 在 2015 年 4 月至 2016 年 7 月 Wosign 已经被发现了三起安全事故,这凸显了 Wosign 在验证流程上存在的问题。
第一起是 2015 年 4 月份时 Wosign 被发现允许申请免费 SSL 证书的用户使用任意端口进行验证,其违反了限制端口和路径的使用规定。
第二起是 2015 年 6 月份时 Wosign 被发现允许申请者通过验证子域名控制权的方式获得主域名的控制权。 例如在 Github 上获得了二级域名并前往 Wosign 申请免费证书时通过了验证,然而让人意想不到的是除了该二级域名的证书会得到批准外 Github.com 主域名竟然也可以获得 SSL 证书。 一旦有人利用 Wosign 的这个漏洞申请对应网站的证书则可以用来劫持用户访问并且浏览器不会提示安全问题。
第三起是今年 7 月份与 Wosign 有关联的 CA 机构 StartCom 被发现允许证书倒着填写日期,倒着填写日期则可以绕过浏览器对 SHA-1 算法的限制(由于 SHA-1 算法的安全性问题现在多个浏览器已经不再支持 SHA-1 证书)。
Mozilla 目前已经考虑对 Wosign 采取进一步的行动,包括直接吊销 Wosign 的证书—— 这将影响大量使用 Wosign 签发证书的网站。
相关事件: 2015 年 3 月份时 Google 发现埃及中级 CA 机构 MCS 伪造了 Gmail 的 SSL 证书 ,伪造的证书用来监控 MCS 雇员的通讯以及其他目的。
Google 在发现后立即吊销了 MCS 的 CA 证书,并且将 MCS 证书的上一级颁发者 CNNIC 根证书一并吊销了。
尽管后来 CNNIC 宣称对 MCS 伪造 Google 旗下产品证书的事件不知情,但也显示了 CNNIC 对证书管理不善导致了这次事件。
随后 Mozilla 也加入了 Google 行列对 CNNIC 在 2015 年 4 月 1 日及之后颁发的所有证书进行了吊销。
1
66beta 2016-08-31 09:26:26 +08:00
家里和公司电脑都删了 CNNIC ROOT
|
2
est 2016-08-31 09:41:04 +08:00
@66beta 删了没用。。 WoSign 很多系统不自带,但是跟 StarCom 是交叉签名的。。。。要把 WoSign 的证书导入然后拉黑才行。
|
3
RqPS6rhmP3Nyn3Tm 2016-08-31 09:56:03 +08:00 via iPhone
如果不安全,浏览器和系统厂商会去解决
作为用户不需要考虑 |
5
alexyangjie 2016-08-31 10:11:25 +08:00
刚才稍微查了一下,一查差点吓死,原来 StarCom 早在 2015 年就被 WoSign 的老板收购了,现在平台运行在 360 公司,是地地道道的中国公司。。。赶紧换 let's encrypt...
|
6
ivmm 2016-08-31 10:13:04 +08:00
垄断证书的资本家对免费证书的残忍剥削
|
7
processzzp 2016-08-31 10:24:35 +08:00 via Android
@ivmm ???
哥们你最好是来钓鱼的 🎣 |
8
xuan880 2016-09-01 03:15:12 +08:00 via Android
第三个到底和沃通有啥关系?
|
9
zetaoyang OP @xuan880 沃通是一个中国的证书颁发机构( CA )。证书的根 CA 是 StartCom 的。
如果需要详细解释,请看这个博客: https://techyan.me/2015/08/15/%E6%B2%83%E9%80%9Awosign%E5%85%8D%E8%B4%B9ssl%E8%AF%81%E4%B9%A6%E4%BD%93%E9%AA%8C%E4%B8%8E%E5%88%86%E6%9E%90/?variant=zh-cn |
10
ZE3kr 2016-09-04 06:58:56 +08:00 via iPhone
|
11
cyancat 2016-09-05 22:55:17 +08:00
|