沃通和StartCom頒發(fā)的證書不再被(bèi)信任

GitHub安全團隊稱沃通在沒(méi)有得到他們授權的情況下簽發(fā)了一個GitHub的證書。這(zhè)促使GitHub安全團隊和Mozilla合作對(duì)沃通進(jìn)行了調查，發(fā)現了沃通的若幹違規簽發(fā)證書的問題。該調查表明沃通有意地規避了浏覽器限制（即對(duì)SHA-1 簽名證書的失效計劃）和對(duì)CA的要求。更進(jìn)一步的，還(hái)發(fā)現了另外一家CA公司StartCom也被(bèi)沃通秘密收購，這(zhè)違反了CA公司被(bèi)收購需要披露信息的要求。而且，沃通公司還(hái)替換了原StartCom的基礎設施、人員、政策和簽發(fā)系統。面(miàn)對(duì)這(zhè)種(zhǒng)情況，沃通和StartCom管理層還(hái)嘗試誤導，這(zhè)兩(liǎng)個公司之間的收購事(shì)實。

目前，主流浏覽器裡(lǐ)面(miàn)，Mozilla的Firefox 、蘋果的Safari和谷歌的Chrome都(dōu)已經(jīng)做出了相應的反應，從 Chrome 56版本開(kāi)始，不再信任沃通和 StartCom 于 2016 年 10 月 21 日之後(hòu)簽發(fā)的證書。在這(zhè)個日期之前簽發(fā)的證書依舊信任。這(zhè)次懲罰是浏覽器直接無法訪問，用戶不能(néng)選擇忽略。使用這(zhè)兩(liǎng)個CA 所簽發(fā)證書的網站應該盡快遷移到其它被(bèi)信任的CA所簽發(fā)的證書下。

受影響網站：

權威機構分析，中國(guó)互聯網共有2971個網站受到影響。

浏覽器攔截截圖：

Chrome：

Safari：

Firefox：

浏覽器官方通告：

Chrome:https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

Firefox:https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Safari:https://support.apple.com/en-ca/HT204132