关于沃通和StartCom颁发的证书不再被信任的问题,近日百度安全指数官方网站发布了一篇内容。今天小凯seo博客转载过来和朋友们分享一下,希望朋友们也多多关注百度安全指数这个平台,来了解关于网站安全方面的信息。
GitHub 安全团队称沃通在没有得到他们授权的情况下签发了一个GitHub的证书。这促使GitHub安全团队和Mozilla合作对沃通进行了调查,发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制(即对SHA-1 签名证书的失效计划)和对CA的要求。更进一步的,还发现了另外一家CA公司StartCom也被沃通秘密收购,这违反了CA公司被收购需要披露信息的要求。而且,沃通公司还替换了原StartCom的基础设施、人员、政策和签发系统。面对这种情况,沃通和StartCom管理层还尝试误导,这两个公司之间的收购事实。
目前,主流浏览器里面,Mozilla的Firefox 、苹果的Safari和谷歌的Chrome都已经做出了相应的反应,从 Chrome 56版本开始,不再信任沃通和 StartCom 于 2016 年 10 月 21 日之后签发的证书。在这个日期之前签发的证书依旧信任。这次惩罚是浏览器直接无法访问,用户不能选择忽略。使用这两个CA 所签发证书的网站应该尽快迁移到其它被信任的CA所签发的证书下。
安全指数HTTPS安全检测服务,已支持包括该项内容的9大类平台HTTPS有效性检测。
受影响网站:
安全指数分析中国互联网共有2971个网站受到影响
浏览器拦截截图:
浏览器官方通告:
Chrome:https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Firefox:https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
Safari:https://support.apple.com/en-ca/HT204132