沃通证书问题不是一天两天的事情了,这件事也彻底惹恼了火狐官方。Firefox浏览器背后的Mozilla基金会正在考虑对沃通(WoSign)及被其秘密收购的StartCom(著名的StartSSL即其旗下产品)这两个CA一年内新签发的所有SSL证书进行封杀。 Mozilla的工程师是在对这两个CA签发了一系列可疑的SSL SHA-1证书进行调查之后,宣布的这个禁令。
事件起因
前不久,英国的Mozilla程序员Gervase Markham在发布在Mozilla的安全政策邮箱列表里说,沃通在没有审核域名归属的情况下,就为某申请者颁发了一张SSL证书。根据他的描述,这样的情况从2015年7月就开始了,他一直没有上报。
Markham在邮件列表里称,2015年6月,有申请者发现沃通免费证书服务存在问题,只要申请者证明他们拥有子域名,沃通就会给他们颁发根域的证书。这名申请者本来是想要申请一张“med.ucf.edu”的证书,不小心写了“www.ucf.edu”,结果沃通居然同意了,颁发了一张根域名的证书给他。
为了证实真假,测试研究人员用同样的方法针对Github的根域名实施了欺骗,结果沃通同样分发了GitHub根域名的证书。
你来我往,沃通认怂
而后,研究人员向沃通报告了这一情况,并以GitHub为例,沃通也仅仅是吊销了GitHub的证书。2016年7月,与沃通CA有关联的StartCom CA被发现允许证书datebacked(也就是所谓的“倒填日期”,指的是本来证书实际在2016年部署,但证书上的日期被改到2015年的某天),因而能绕过浏览器对SHA-1算法的限制。因此,Mozilla对沃通的做法进行了指责、批评,并打算将沃通的认证证书从自己的白名单中除去(时间暂定一年)。
而在收到Mozilla对datebacked的指责后,中国认证机构沃通也将自己管理的Wosign和StartCom证书进行了清理。
当然,作为对此事回应的一部分,沃通已经将2015和2016年度分发的大约20万个证书,公布在了谷歌透明日志服务器以及自家的CT日志服务器上供大家监督,并承诺在之后将所有的证书都公布出来。
据Gervase Markham透露:针对封杀事件,沃通的主要股东奇虎360(按照奇虎360的说法,奇虎360共计持有 84% 的沃通股份)和StartCom上周二在伦敦会见了Mozilla方面的代表。
新老总走马上任,沃通努力自救
沃通对此做出了积极回应并公布了一份书面说明(见文末下载链接),并作出了众多承诺,如:
1.沃通和StartCom分离开来,StartCom将由奇虎360直接负责;
2.奇虎360的首席安全官谭晓生将被任命为StartCom主席(Chairman),而StartCom欧洲区总经理Inigo Barreira升任公司CEO,沃通原来的CEO王高华表示承担错误责任,并宣布辞职;
3.这两家CA的团队、运营和基础设施都将分离,奇虎360人员将对代码进行内部检查,而StartCom将系统提交至外部进行检查;
4.StartCom将会发布单独的”短期整改计划”。
为了稳定军心,避免微软和谷歌也对沃通进行封杀,奇虎360也不敢怠慢,正在着手解决今年1月发生的最严重的datebacked事件。
在沃通事故报告中有这样一段陈述:Wosign is in process of making legal and personnel changes in bothWoSign and StartCom to ensure that both WoSign and StartCom have leadershipthat understand and follow the standards of running a CA。(在沃通进行法律和人事变动过程中,沃通始终确保Wosign和StartCom都有能够透彻理解和执行CA标准,并能坚决执行的管理层)
这份事故报告中列出了超过60份datebacked证书,甚至还包括颁发给总部设在澳洲的付费处理机构Tyro的证书,谁知道,还有多少公司的证书存在问题呢?
其实,前面列举的只是沃通丑闻的冰山一角,Mozilla在其官方列出了已经曝光的丑闻。
祸不单行,苹果也要将沃通证书移除
奇虎360在发布的事故报告中说,那些有效期至2017年1月的SHA-1证书颁发,其实是由于系统升级的延迟造成了,他们已经在着手吊销这些SHA-1证书。此外,奇虎360还将为那些已经持有SHA-1证书的用户,免费吊销并升级为SHA-2。
Mozilla表示,他们将会根据360方面对此事的整改效果做进一步的考量和决策。不过实际上,沃通还得说服苹果撤销对其不信任的决定。在Mozilla之后,苹果也在第一时间宣布将沃通证书移出信任名单之列,包括iOS和macOS都不再信任来自沃通的证书,并在下一轮的安全更新中实行。
众多使用沃通和StartCom证书的软件供应商和服务商也都在观望,他们都在等待谷歌和微软对这起事故的声明,有迹象表示,这两家公司对此次事件会持包容的态度(这也许是沃通的一个福音吧)。
沃通回应全文下载:沃通回应全文下载