WoSign/StartSSL 要完蛋了

2016-09-27 01:08:18 +08:00
 rio

https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.

We plan to distrust only newly-issued certificates to try and reduce the impact on web users, as both of these CA brands have substantial outstanding certificate corpuses. Our proposal is that we determine “newly issued” by examining the notBefore date in the certificates. It is true that this date is chosen by the CA and therefore WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots.

14328 次点击
所在节点    SSL
79 条回复
initialdp
2016-09-27 08:45:55 +08:00
干得漂亮!
aveline
2016-09-27 08:47:00 +08:00
喜大普奔
Shura
2016-09-27 08:56:13 +08:00
我想起了之前在知乎上看到的问题:“现在程序员都不关心技术而只在意如何站队了吗?”。现在感觉非常有道理,有什么不是自由吗?为什么要对站长进行道德绑架?😂
lhbc
2016-09-27 09:03:02 +08:00
@devz1984 目前不影响,看微软和苹果要不要表态吧。
kappa
2016-09-27 09:13:58 +08:00
@princeofwales 有态度,别忘了续费
pubby
2016-09-27 09:18:00 +08:00
那么还有哪些支持多域名,有效期至少一年的靠谱的服务商?哦,免费的或者便宜的。

唉,用 startSSL 签过几个二级域名
Quaintjade
2016-09-27 09:24:38 +08:00
Wosign 现在做了 certificate transparency 了吗?没有已签发证书清单的话,怎样证明某个证书是 back-dated ?
choury
2016-09-27 09:32:52 +08:00
@Shura 怎么叫道德绑架?要是有一天它给你签了个假证书,或者由于漏洞让别人给你的网站签了个证书怎么办?不要告诉我说你的小网站没人鸟,万一它搞的是 google 呢?毕竟它签过 github 的证书,你要说 github 你也不上,它还签过 alicdn 的,你怕了吗?
aliuwr
2016-09-27 09:53:05 +08:00
@choury 文中第二段
Some of those turned out, in Mozilla ’ s view, to be not WoSign ’ s fault (e.g. Issue T, a mis-issuance for the domain alicdn.com, which got temporarily taken over by an attacker)

其实很好奇攻击者是如何得到 alicdn 的控制权的,可惜乌云挂了,而阿里自己的安全平台不会公布漏洞详情。
honeycomb
2016-09-27 10:06:20 +08:00
@Shura 站长可以用它喜欢的 CA ,但是站长不太可能会用一个不再被支持的 CA 。

本事件被批判的是 360 旗下的 wosign/startssl ,具体讨论过程,理由都公开了
choury
2016-09-27 10:33:08 +08:00
@aliuwr 和阿里应该没关系, wosign 自己的漏洞吧,验证域名不严谨,就像 github 那样,而且毕竟这是一个 cdn ,放点东西上去还是挺容易的
somnus
2016-09-27 10:56:30 +08:00
卧槽...要换 CA 了...
deeporist
2016-09-27 11:17:48 +08:00
Mozilla 的 CA 团队算是放狠话了 劳资已经不信任你了 但给你留点脸面 未来某个时间点开始你的新发证书我们都不信任 过去颁发的既往不咎 算是缓和对网站的冲击 当然你也可以 backdating 来绕过这个限制(因为你 tm 已经干过了) 但没关系 many eyes are on the Web PKI 你要敢做 咱们就彻底再见(大快人心 流氓就该被按在地上摩擦)虽然 wosign 被建议在证书里不包括任何 sha-1 的 backdating 信息(貌似已经接受建议了?) 但是这么做将会限制他们只能在某局域网发证书玩了
egen
2016-09-27 11:57:51 +08:00
喜闻乐见
DoraJDJ
2016-09-27 12:02:06 +08:00
Let's encrypt 党看戏中
gefranks
2016-09-27 12:02:30 +08:00
已吊销国内 CA,iperf 的网站貌似不能访问了,是 startcom 签的
woshinidie
2016-09-27 12:17:27 +08:00
支持,流氓企业滚粗。
vivagonna
2016-09-27 13:07:05 +08:00
好!正打算换成 globalsign 的
sneezry
2016-09-27 13:17:08 +08:00
WoSign 提供在线生成 CSR 的时候没有提醒用户相关风险,而且还鼓励用户不自己生成 CSR :
https://freessl.wosign.com/1405.html

这也与“ CA 不应为用户生成私钥”相抵触:
https://wiki.mozilla.org/CA:Problematic_Practices#Distributing_generated_private_keys_in_PKCS.2312_files
cnkuner
2016-09-27 13:34:28 +08:00
@princeofwales 很想知道,如果一个 CA 应各种原因导致例如 Firefox 等大份额浏览器不信任,能退款不?合同怎么写的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/309184

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX