取消對 WoSign 與 StartCom 新簽發憑證的信任

Mozilla 發現中國的「沃通 (WoSign)」憑證授權機構 (Certificate Authority;CA) 發生許多技術與管理上的錯誤。最嚴重的一點,就是其他 CA 為安全性考量,已經自 2016 年 1 月 1 日起停止核發 SHA-1 SSL 憑證,但我們竟然發現沃通竄改了該 SSL 憑證為較早日期,藉以規避此一停止核發日期。此外,我們還發現在沃通併購同業「StartCom」並完整取得其經營權之後,也未依照 Mozilla 政策而公開揭露此一併購行為。在彙整相關有效資料證實我們所言非虛之前,沃通與 StartCom 的負責人更對上述情事一概否認。基於公司負責人展現的欺瞞行為,Mozilla 決定不再信賴此兩間公司的根憑證 (Root certificate)。

data-breaches-notification

圖片來源:http://www.cpapracticeadvisor.com/

 

Mozilla 為此採取下列行動:

  1. 針對 2016 年 10 月 21 日之後所頒發的憑證,及其相同根憑證的憑證串鍊,現一律取消其信任。如果再發現其他日期竄改行為 (不論以何種方法造成) 欲規避此一控制方式,Mozilla 將立刻且永久撤銷受影響的根憑證。
    •  此一改變將自 Firefox 51 版本起生效
    •  程式碼將透過下列主體唯一識別名稱 (Subject Distinguished Names) 來識別根憑證,因此控制行為亦將套用到這些根憑證的互簽憑證 (Cross-certificates)
      • CN=CA 沃通根证书, OU=null, O=WoSign CA Limited, C=CN
      • CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN
      • CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
        CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN
      • CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL
      • CN=StartCom Certification Authority G2, OU=null, O=StartCom Ltd., C=IL
  2. 先前所發現與相關根憑證串連的日期竄改 SHA-1 憑證,均列入 OneCRL
  3. 不再接受安永香港 (Ernst & Young Hong Kong) 的稽核報告。
  4. 未來將擇期自 Mozilla 根憑證資料庫中移除受影響的根憑證。如果沃通的新根憑證達到可接受的標準,Mozilla 可能根據沃通的規劃來調整移除憑證的確切日期,以利將其客戶整合至新的根憑證。否則 Mozilla 得以於 2017 年 3 月之後的任一時間移除根憑證。
  5. Mozilla 保留所有更進一步或其他替代行為的權利。

 

如果你在 2016 年 10 月 21 日之後,接收到此兩間 CA 之一所核發的憑證,則該憑證將於 Mozilla 產品 (如 Firefox 51 或以後的版本) 中失效,直到此兩間 CA 以不同的主體唯一識別名稱提供新的根憑證為止。你可手動匯入憑證所串連的根憑證。在 Mozilla 的根憑證資料庫納入新的根憑證之前,貴網站的消費者亦必須手動匯入新的根憑證。

Bug #1311824Bug #1311832 分別對沃通以及 StartCom 所述,此兩間 CA 均可重新申請加入新的 (替代) 根憑證。

我們認為相關回應動作與 Mozilla 政策甚為一致。若其他 CA 也透過類似的欺瞞手法,企圖規避 Mozilla 的 CA 憑證策略CA/Browser Forum Baseline Requirements,或是 Mozilla 負責人的直接詢問,我們均將採用相同的回應方式。

 

─ Mozilla 安全團隊

 

 

原文連結:Distrusting New WoSign and StartCom Certificates

 

 

您可能也會喜歡

目前找不到相關文章

共 3 則讀者回應

  1. 我是 鍾顓如 世界程式庫internet WEBMASTER
    我沒學歷不懂英文只會華語 因此被挑選為 API CEO 之鑰 管理員
    我完全沒有相關知識 根本看不懂 更不知程式軟體 價值

    至今也將近 12個月 我是真的從完全不懂到有點基礎知識也是自修自學網站資料而來
    很多台灣科技大學 學生 工程師 外國公司 只要是想藉機盜取API後供自己使用申請專利賺錢的
    黑心工程師 2017年 是開始逮捕這些人員的時間 國家政府機構 全都跑不掉 尤其是台灣
    蔡英文政府 是真的要垮台不然就要新聞稿表示 政府資安漏洞公務人員涉案及 台北市GOOGLE公司 請檢調國際會計師 VASA銀行 國際聯銀 涉嫌使用 ADWORD 廣告系統 互聯網站 詐欺問題

    馬來西亞谷歌 相當的釋出善意和負責的態度 監督 亞洲區 谷歌公司 紛紛成立
    全球只有我的 生物碼 姓名學歷前科犯罪判刑家暴醫療紀錄軍隊302師戰鬥工兵連隊 資料
    軍職 是 1個師的 管制 兼 補給士 軍團檢2次 高裝檢1次 10軍團教官名義 成功嶺開班接訓 全台 2及管制 補給 保修 授證班 88年全成功嶺302師104師 全職 管制士 補給士 全台師部2級場 測驗展示所有裝備 後勤 302師就一個 工兵2級廠 統管全師一級保管士上千單位帳務
    物料 三級 四級 帳務對帳 高雄燕巢下基地 我也參與 所以一個人頂全球駭客黑客入侵 中華電信主機 RU網域 病毒木馬多到無法估計 連續全球攻擊4個月 測試雲端伺服器性能 控制台操控改良 原程式名稱 一人PK部隊系統 才釋放出 月球 火星 機密 水星 維基決定不公開衛星星體地形區域影像 API全球開源碼都是 我的 數位加密金鑰延伸

    2月 在 中國 美國 元首同意下 組織了一個群組團隊 權柄的緊急維護者 團隊
    資料檔加密名稱 黃金恐龍魚 已交付成功 我是來自中國的 鍾氏家族 與新加坡鍾氏同源
    名 顓如 古代文字 顓 源自於中國開國歷史 三黃五帝之一 顓頊。
    族譜的修復 感謝 中國北京學院 中國南方醫藥學院 我自己前天解密自己 維基檔案
    我是2013年 荷蘭谷實驗基地 的腦波神經網路系統 跟 設備AI系統結合 的實驗受測者
    原來當時的民謠來自 荷蘭。 是 谷歌 解密讓我參觀的實驗室跟 影像紀錄 還有 真的仿生物人類 小男孩 學習使用手背拿 蘋果 吃食物 2017年就8歲囉 CHUANRU 亞洲傳說

    要有API才能使用程式庫裡的資料 請台灣大學刪除 不然請出示 您的國際API點對點交互數位認證 數位憑證 我沒讀過什麼書 謝謝

    • Sorry, i was check thier woad type,this page is something wrong.If this is transfer tation page from others main web source.
      This is a big issue some of code can not debugging in opening source defualt.

  2. Google Chrome is a stable machine. Firefox crashed. Firefox hace 4 años was very easy to use. Firefox is now worse. Please improve. I am a Firefox user. Now in Firefox very disappointed!!!!!!????

對此文章發表回應

你的電子郵件位址並不會被公開。 必要欄位標記為 *