谷歌Chrome禁止中国SSL认证机构WoSign和StartCom

“对CAs的高标准要求。”

2016年8月17日，GitHub的安全团队通知谷歌，中国证书颁发机构WoSign未经授权向一名未具名的GitHub用户颁发了GitHub一个域的基本证书，谷歌随后采取了这一举措。

在这个问题被报道后，谷歌与Mozilla和安全社区合作进行了公开调查，发现了其他几起WoSign错误颁发证书的案例。
因此，这家科技巨头去年开始将其对WoSign和StartCom支持的证书的信任限制在2016年10月21日之前发行的证书，并在Chrome 56发布以来的几次Chrome发布过程中删除了白名单上的主机名。

现在，Chrome安全工程师德文·奥布莱恩（Devon O’Brien）在谷歌集团周四发布的一篇帖子中表示，公司最终将从即将发布的Chrome中删除白名单，完全不信任现有的WoSign和StartCom证书。

“从Chrome 61开始，白名单将被删除，导致对现有WoSign和（其子公司）StartCom根证书以及他们颁发的所有证书的完全不信任，”O'Brien说。

“根据Chrome开发日历，这一变化将在未来几周在Chrome开发频道、Chrome Beta频道（大约2017年7月下旬）中可见，并将在2017年9月中旬左右发布至Stable。”

去年，苹果和Mozilla也停止了对WoSign的信任，StartCom也因为技术和管理方面的失误为他们的网络安全浏览器颁发了证书。

Mozilla trusted root项目负责人凯瑟琳·威尔逊（Kathleen Wilson）说：“最严重的是，我们发现他们在回溯SSL证书，以绕过CAs在2016年1月1日之前停止颁发SHA-1 SSL证书的最后期限。”。

“此外，Mozilla发现WoSign已获得另一家名为StartCom的CA的全部所有权，并未能按照Mozilla政策的要求披露此事。”

WoSign证书服务的问题可以追溯到2015年7月，去年由英国Mozilla程序员Gervase Markham在Mozilla的安全策略邮件列表上公开披露。
据Markham称，一名未具名的研究人员在试图获取“未具名”证书时意外发现了这个安全错误。ucf。“教育部”，但也申请了“www.ucf”。edu’和WoSign批准了该计划，并颁发了该大学主要领域的证书。

出于测试目的，安全研究人员随后对Github基本域（Github.com和Github.io）使用了这个技巧，证明了他对子域的控制。

你猜怎么着？WoSign还提交了GitHub主域的证书。

从2017年9月开始，使用WoSign或StartCom HTTPS证书的网站访问者最终会在其web浏览器中看到信任警告。

因此，仍然依赖WOSGIN或STARCOM发布的证书的网站应考虑更换证书。“作为紧急事项，尽量减少对Chrome用户的干扰，”奥布莱恩说。

另请阅读：证书透明度监控工具如何帮助Facebook早期检测重复的SSL证书？