Google不信任WoSign和StartCom證書,灰鴿子下載,遠(yuǎn)程控制軟件

admin

Google不信任WoSign和StartCom證書,灰鴿子下載,遠(yuǎn)程控制軟件

Google不信任WoSign和StartCom證書
Google Chrome將在10月21日之后停止托管WoSign和StartCom證書頒發(fā)機(jī)構(gòu)頒發(fā)的數(shù)字證書
根據(jù)Mozilla和蘋果的類似決定，Google計(jì)劃拒絕兩個(gè)證書頒發(fā)機(jī)構(gòu)頒發(fā)的新數(shù)字證書，因?yàn)樗鼈冞`反了行業(yè)規(guī)則和最佳做法。
該禁令將在Chrome版本56中生效，該版本目前位于開發(fā)版本通道中，并將適用于10月21日之后由證書授權(quán)中心WoSign和StartCom發(fā)布的所有證書。瀏覽器依靠數(shù)字證書來驗(yàn)證網(wǎng)站的身份，建立與它們的加密連接。

在10月21日之前簽發(fā)的證書將繼續(xù)被信任，只要它們發(fā)布到公共證書透明日志或已發(fā)布到由已知WoSign和StartCom客戶擁有的有限域名。
該禁令遵循Mozilla主導(dǎo)的調(diào)查，發(fā)現(xiàn)在中國的證書頒發(fā)機(jī)構(gòu)WoSign的SSL證書頒發(fā)過程中存在多個(gè)問題。調(diào)查還顯示，在2015年，WoSign默默地收購了以色列的一家CA公司StartCom，但并未向運(yùn)行證書根程序的瀏覽器供應(yīng)商披露這筆交易。


在調(diào)查期間發(fā)現(xiàn)的問題中，有64個(gè)案例，在2016年1月1日行業(yè)官方SHA-1截止日期之后，WoSign頒發(fā)了使用老化的SHA-1算法簽署的證書。CA然后回溯這些證書似乎他們是在1月1日之前發(fā)出的，以試圖隱藏違規(guī)行為。

中國互聯(lián)網(wǎng)安全公司Qihoo 360擁有WoSign的絕大部分股權(quán)，并且在StartCom中也是如此，最近，他們決定分拆兩個(gè)已經(jīng)默默共享基礎(chǔ)設(shè)施，員工，政策和發(fā)行系統(tǒng)的CA，將近一年。

奇虎360發(fā)射WoSign的首席執(zhí)行官理查德王后，確定他批準(zhǔn)了42個(gè)SHA-1證書發(fā)布由WoSign和兩個(gè)由StartCom發(fā)布。然而，該公司要求瀏覽器供應(yīng)商在判定懲罰時(shí)單獨(dú)處理WoSign和StartCom事件，給予后者作為一個(gè)可靠的全球CA的長期歷史和其行動(dòng)的影響更有限。

似乎這個(gè)策略不起作用，因?yàn)榈侥壳盀橹固O果，Mozilla和谷歌宣布他們的決定，禁止WoSign和StartCom證書。 StartCom自1999年開始運(yùn)營，是第一家提供免費(fèi)數(shù)字證書的CA，與WoSign不同，其大多數(shù)客戶來自中國境外。

Chrome安全團(tuán)隊(duì)成員Andrew Whalley在一篇博客文章中表示：“由于存在一些技術(shù)限制和問題，Google Chrome無法信任所有現(xiàn)有證書，同時(shí)確保我們的用戶能夠充分保護(hù)用戶免受進(jìn)一步誤解。 “由于這些變化，WoSign和StartCom的客戶可能會(huì)發(fā)現(xiàn)他們的證書在Chrome 56上不再工作。

此外，在10月21日前發(fā)行的證書的例外情況只是暫時(shí)的，旨在給WoSign和StartCom客戶提供轉(zhuǎn)換到其他CA的時(shí)間。這些例外將在后續(xù)Chrome版本中減少，并且兩個(gè)CA最終將完全不受信任。

“發(fā)現(xiàn)自己在這個(gè)白名單上的網(wǎng)站將能夠要求提前移除，一旦他們已經(jīng)轉(zhuǎn)換到新的證書，”Whalley說。 “WoSign或StartCom試圖規(guī)避這些控制措施將導(dǎo)致立即徹底刪除信任。