WoSign/StartSSL 要完蛋了

2016-09-27 01:08:18 +08:00
 rio

https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview

Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.

We plan to distrust only newly-issued certificates to try and reduce the impact on web users, as both of these CA brands have substantial outstanding certificate corpuses. Our proposal is that we determine “newly issued” by examining the notBefore date in the certificates. It is true that this date is chosen by the CA and therefore WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots.

14329 次点击
所在节点    SSL
79 条回复
breeswish
2016-09-28 13:02:02 +08:00
@xavierskip http://www.pcworld.com/article/2999146/encryption/google-threatens-action-against-symantec-issued-certificates-following-botched-investigation.html
breeswish
2016-09-28 13:11:01 +08:00
@msg7086 WoSign 报告在这里: https://www.wosign.com/report/wosign_incidents_report_09042016.pdf
guozixi
2016-09-29 09:42:47 +08:00
@laoyur 只是新签发的不信任,暂时不影响现有站点因此他们没话说
hqfzone
2016-09-29 10:49:24 +08:00
@laoyur 只是不信任最近签发的,和吊销影响完全不同。
VmuTargh
2016-09-29 13:00:59 +08:00
@breeswish 印象中 Google 把 Symantec D 一个 CA 干掉了以示警告了吧。再说了,真干掉 Symantec 全家你一堆网站也别上了。 Google 的 PKI 还是 Symantec 签的呢
Doxboy
2016-09-29 18:01:56 +08:00
@VmuTargh 看来哪怕赛门铁克犯了大错,谷歌和火狐也不能干掉他咯。
VmuTargh
2016-09-29 18:05:02 +08:00
@Doxboy 你牛逼让那些大佬不用啊,说得你拉黑了一样。
利益相关: Alphassl 用户
VmuTargh
2016-09-29 18:06:24 +08:00
@Doxboy 另外还开小号嘲讽,您是有多在意自己呢
Doxboy
2016-09-30 09:26:14 +08:00
@VmuTargh 什么开小号?按你的逻辑来说 @你的所有人都是开小号?你咋不上天咧。另外,你是有多在意赛门铁克啊,赏你喝茶啦
breeswish
2016-09-30 11:30:40 +08:00
@VmuTargh 所以说 “看看什么叫做你弱我就踩你” :)
namebus
2016-09-30 15:08:01 +08:00
@Doxboy 这要看赛门铁克犯什么的错误了,如果有像沃通这样有意而为之的事件,相信后果也一样会很惨。
Doxboy
2016-09-30 17:05:41 +08:00
@namebus 这个也就跟 @breeswish 提过的 “ Symantec (也就是 VeriSign) 员工刻意签发其他域名证书几千张,最后也就是被谴责一下,开了几个人,写了几个报告,就完事了“。
Technetiumer
2016-10-02 13:35:46 +08:00
哪天 let's encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵!

comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵!
Quaintjade
2016-10-05 20:45:43 +08:00
看了关于 WoSign 的 Mozilla Wiki 和 Mozilla 的报告,各种欢乐。 WoSign 这么逗逼居然都能当 CA ,而且这么一堆 Issue 现在才被暂时撤销 CA 。
https://wiki.mozilla.org/CA:WoSign_Issues
https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview#



Richard Wang 的英文水平就不吐槽了, CEO 直接上阵在 Google 讨论也不吐槽了,列几个有意思的:
1. BR 里面的“ should not ”一词意思是不推荐(中文大概应该叫“原则上不能”),但有理由的话还是能做的,所以 Issue D 不算违反 BR 。

2. Google 联系 WoSign 时,很坏地不直说 WoSign 的 CPS (Certification Practice Statement)有哪些问题,而是让 WoSign 自己检查签发的证书与 CPS 有什么问题。问题列出来之后, WoSign 很快修正了自己的 CPS 。
Mozilla 评价说它不是按 CPS 签发证书,而是证书怎么签, CPS 之后就怎样更新。

3. 关于 Issue N (用户可以添加非自己控制域名的 bug )
WoSign: 我们 TOS 有写着,如果用户发现证书签发了错误的域名,应该立刻联系我们吊销啊。你看,申请证书的这一步,用户必须打勾同意我们的 TOS 呢。
Mozilla: 如果我是攻击者,我才不会关心你的 TOS 呢!(潜台词:MDZZ)

4. 还是 Issue N
WoSign: 我们员工发现过证书包含错误域名,但认为这只是不正常的个案,没有报告 bug 。
Mozilla: 这要是真的话,那简直是醉了 (This is amazing, if true.) 如果你的员工认为签发错误证书不是大问题,这可是相当严重的错误 (quite badly wrong)。

5. WoSign 签过 SM2 算法证书( SM2 不是 BR 允许的椭圆算法),而且序列号还与另外的证书相同。 WoSign 说自己在中国注册,必须遵守当地法规,积极配合中国的浏览器测试 SM2 算法能否被国际 CA 使用。
Mozilla: 我表示怀疑……

6. WoSign 发了事件报告,结果报告中的截图又被发现另一个小 Issue (使用了不安全的旧版本软件)

7. WoSign: 有问题的证书只会签给中国市场 (C=CN)
Mozilla: 滚……

8. WoSign: 关于 62 张日期有问题的证书我们一一询问和确认了,都是程序问题,不是人为的。
Mozilla: 哦?那就很有趣了,我们来看个例子……(照着 WoSign 的说法构造出了一个很荒谬的可能性一,同时构造了 WoSign 人为签发伪造日期证书的可能性二)
Quaintjade
2016-10-05 20:46:52 +08:00
Symantec/Verisign 只能说是 Too big to fail , Google 也只能放些狠话,没法连根拔。
lslqtz
2016-10-09 08:53:13 +08:00
StartSSL 不一定会完,他的证书签发都带 CT 。
Khlieb
2016-11-02 10:35:00 +08:00
@EricCartman 国内店大欺客的女干商真的很气人
wkl17
2017-01-09 19:47:21 +08:00
@honeycomb wosign/startssl 是 360 旗下?

@ALL 现在有什么新进展吗?正准备申请免费的 startssl 呢
honeycomb
2017-01-09 20:59:04 +08:00
@wkl17
是的,具体可以看 Mozilla 在 Google Groups 的讨论组(mozilla.dev.security.policy)

里面保留了完整的从当时 CNNIC 被取消信任到此次奇虎旗下的 wosign/startssl(由 wosign 收购)事件的全部讨论原文。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/309184

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX