WoSign/StartSSL 要完蛋了

2016-09-27 01:08:18 +08:00
 rio

https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.

We plan to distrust only newly-issued certificates to try and reduce the impact on web users, as both of these CA brands have substantial outstanding certificate corpuses. Our proposal is that we determine “newly issued” by examining the notBefore date in the certificates. It is true that this date is chosen by the CA and therefore WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots.

14328 次点击
所在节点    SSL
79 条回复
cyg07
2016-09-27 13:51:24 +08:00
以前发现被入侵,也只是说明没被偷就完了。
真正的威胁没人关心

你说没有假冒证书就没有?跟 NSA 的伎俩比起来我们真的是在娱乐。

GlobalSign 公司黑客事件最新报道:证书颁发机构未发现假冒证书
http://www.searchsecurity.com.cn/showcontent_56603.htm
黑客声明攻击 CA 公司 GlobalSign 安全事件报告
https://cn.globalsign.com/company/news-946.html
Ubuntuu
2016-09-27 17:06:07 +08:00
jhdxr
2016-09-27 18:28:48 +08:00
http://news.softpedia.com/news/mozilla-ready-to-ban-wosign-certificates-for-one-year-after-shady-behavior-508674.shtml

这个禁令是一年有效期的,一年内如果没什么问题就恢复信任的。 40 多楼居然完全没人提到这一点
stneng
2016-09-27 19:57:03 +08:00
还有这 CEO 的回复, 233 。。。
@Showfom
https://ooo.0o0.ooo/2016/09/27/57ea5e6e54870.jpg
breeswish
2016-09-27 20:52:26 +08:00
看看什么叫做你弱我就踩你 :P

比起 WoSign 由于系统漏洞错误签发、刻意提前了签发时间来说, Symantec (也就是 VeriSign) 员工刻意签发其他域名证书几千张,最后也就是被谴责一下,开了几个人,写了几个报告,就完事了。

VeriSign 可信了?然而 Mozilla/Google 敢不信任 VeriSign ?呵呵。
slrey
2016-09-27 21:14:49 +08:00
firefox 49.01 ,里很奇怪的是 startcom 下的证书都有效, wosign 底下的有一部分无效,一部分有效。
xavierskip
2016-09-27 21:19:53 +08:00
@breeswish 请附上来源,或者可以另开一帖讨论此事。
msg7086
2016-09-27 22:02:01 +08:00
@breeswish
员工刻意签发证书,开掉员工。
公司刻意改签发时间,没有做好审核工作,还不愿意写几个报告,于是大家开掉了这家公司。
哪里不对呢?

这种环境里对诚实、透明的要求远远高于技术问题。
你可以有漏洞,但你不能藏着掖着含糊其辞一脸懵逼。
你可以签发错的证书,但是你要有审核机制保证一旦发现了马上 revoke 掉。
Wosign 现在连跑回去看哪些证书是通过漏洞签发的然后 revoke 都做不到,谁陪你玩。
neilp
2016-09-27 22:05:48 +08:00
@jhdxr 没有说可以恢复信任, 是说可以重新申请,走完所有的流程.
markocen
2016-09-27 22:17:59 +08:00
billlee
2016-09-28 00:08:30 +08:00
@jhdxr 是至少封禁一年,一年后要重新加入要重新走审计流程

连安永香港都被取消审计资格了
falcon05
2016-09-28 00:47:38 +08:00
鲁迅说过,我不惮以最坏的恶意来揣测中国人, 360 之流把这个论断传播得更远了
roustar31
2016-09-28 07:28:38 +08:00
Rezark
2016-09-28 09:35:14 +08:00
墙倒众人推! let's encrypt 是火狐旗下的公司,为了开拓中国这块肥沃的数字证书市场,肯定要干掉 wosign 这个本土企业,刚好这次也顺带一起把颁发免费 ssl 证书的 startssl 一起收拾,从此免费 ssl 证书市场就再也没有和他竞争的对手,背后的商业利益让人感到唏嘘!
ragnaroks
2016-09-28 10:07:41 +08:00
@Rezark 火狐用户可不是这么想的
pixstone
2016-09-28 10:13:08 +08:00
@Rezark Let's Encrypt is a service provided by the Internet Security Research Group (ISRG), a public benefit organization. Major sponsors are the Electronic Frontier Foundation (EFF), the Mozilla Foundation, Akamai, and Cisco Systems.

https://en.wikipedia.org/wiki/Let%27s_Encrypt
请先看看 Let's Encrypt 的资方好不。并不是旗下,仅仅是给钱了。
DoraJDJ
2016-09-28 10:18:15 +08:00
@Rezark 钓鱼完美。
pubby
2016-09-28 10:59:11 +08:00
@Rezark 让伟大的墙出马吧,请求 UA 包含 Firefox 就直接 reset
breeswish
2016-09-28 12:52:17 +08:00
@msg7086 你以为员工仅凭个人意志就敢、就能签发其他域名证书了吗,还是那么大规模的?没有管理层的同意我是不相信的。退一步,如果没有管理层参与,基层员工自己就可以这么做,那么不是有更大的信任问题吗?这表明整个安全机制和验证机制完全失效了。

综上, VeriSign 和 WoSign 两个案例同样都是管理层决策结果, Mozilla 这不是双重标准是什么呢?

另外说到隐瞒的事情,请问 VeriSign 没有隐瞒这个事件了?先是不承认,然后说签了几个,最后 Google 安全研究人员掌握了直接证据全打 VeriSign 脸上了它后来才承认所有事实并开除员工。现在 Mozilla 凭借几个间接证据推断出安全问题,以此作为不可信原因,当然是恰当的,那么 VeriSign 的时候怎么不见跳出来嚷嚷着不信任?
breeswish
2016-09-28 12:57:53 +08:00
@msg7086 本次事件中 Mozilla 文章所说的大意是,程序有问题签了错误的证书,这是问题,但最大的问题是人为篡改时间并隐瞒,这表明这家机构是不可信的。根据 Mozilla 所遵循的这个核心原则, VeriSign 完全适用嘛。

我全篇说的就是双重标准的问题,没有说 Mozilla 本次措施不当。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/309184

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX