Mozilla将在一年内封锁WoSign和StartSSL新颁发的所有证书。一年内两家CA新签发的所有SSL证书都将被禁用。Mozilla工程师在调查了这两家CA颁发的一系列可疑的SSLSHA-1证书后宣布了禁令。这两个CA正试图规避SHA-1弃用政策。问题是,主要浏览器供应商已集体决定从2016年1月1日开始停止接受使用过时的SHA-1签名算法的证书。Mozilla指责WoSign今年仍在发行SHA-1签名证书,并将发行日期回溯到12月去年。虽然Mozilla也允许其他一些CA在2016年1月1日之后继续签发SHA-1证书,例如Symantec,但他们只允许那些通过了复杂审批程序的CA这样做,而WoSign显然没有获得同意。WoSign秘密收购StartCom此外,WoSign似乎否认其收购以色列CA公司StartCom。Mozilla表示,WoSign已于2015年11月1日全面收购StartCom。另一方面,根据奇虎360的说法,其合计持有WoSign84%的股份。不过,沃通此前否认或拒绝对此信息发表评论。此外,根据Mozilla披露的技术细节,StartCom已经开始使用WoSign的基础设施来颁发新的证书。此外,StartCom与WoSign一样,在2016年使用回溯方法颁发SHA-1证书。Mozilla的安全工程师也展示了该违规行为的案例细节。Mozilla的调查发现,与GeoTrustCA合作多年的支付处理器Tyro在6月中旬突然使用StartCom部署了一个SHA-1签名证书,这是它之前从未与之合作过的。该证书似乎是在2015年12月20日颁发的,同一天StartCom颁发了大量SHA-1证书。Mozlla发现这些证书在2016年年中部署是不寻常的,这是一种明显的回溯策略来规避SHA-1弃用。这些问题以及更多问题导致Mozilla决定至少在一年内不信任WoSign和StartComSSL证书。Mozilla表示,此次临时禁令仅针对两家公司颁发的证书,不会影响已经分发给其客户的证书。Mozilla准备禁止这两家公司的所有证书,如果他们在一年禁令后没有通过一系列检查。“很多人都在关注WebPKI安全系统,如果发现这样的回填(无论出于何种原因),Mozilla将立即明确不信任WoSign和StartCom根证书,”报告称。此外,计划在Chrome和其他产品中禁止使用它们。“其他浏览器供应商和根证书存储运营商也做出了自己的决定,我们在本文档中列出了这些信息,以便他们了解我们做出此决定的原因,并可以相应地做出自己的决定,”Mozilla说。
