@
jasontse 是你自己只看标题了吧。不要老被记者带沟里去,记者不仅没报道所有的事实,而且还报道错误了 :P
以下陈列事实:
1. 是 Symantec 主动要求移除该证书的:原文 “ We are taking this action in response to a notification by Symantec Corporation that, as of December 1, 2015, Symantec has decided that this root will no longer comply with the CA/Browser Forum ’ s Baseline Requirements ”
2. 对于该根证书被移除, Symantec 表示完全没有受到任何影响:原文 “ Symantec has indicated that they do not believe their customers, who are the operators of secure websites, will be affected by this removal ”
3. Symantec 本来就已经废弃该证书了:
https://www.symantec.com/theme/roots “ It is intended to be the primary root used for these products until Q4 2010 when VeriSign transitions to using a 2048 bit root ”
4. Symantec 在 2015 年 10 月签发的一系列假证书不是使用这个 CA 签发的,证据如下:
4.1) 假证书在这里
https://censys.io/certificates/0d90cd8e35209b4cefebdd62b644bed8eb55c74dddff26e75caf8ae70491f0bd ,是 EV 证书, CN 是
google.com ,有效期 1 天, issuer 是 thawte EV SSL CA - G3 ,与英文报道一致
4.2) thawte EV SSL CA - G3 仍然是可信的:
https://censys.io/certificates/1a99019f9d412a64454749edaa8e7dc46673d644df3ce15cc655735ea0df86fe 4.3) thawte EV SSL CA - G3 的签发者是 thawte Primary Root CA :
https://censys.io/certificates/8d722f81a9c113c0791df136a2966db26c950a971db46b4199f4ea54b78bfb9f ,并不是 12 月报道中被移除的 Class 3 Public Primary Certification Authority
5. 假证书是被按照 serial number 吊销的,并不是签发测试证书的 CA 被吊销:
https://crt.sh/?id=9314698结论:
1. 测试证书不是 Class 3 Public Primary Certification Authority 签发的
2. 没有证据表明 Class 3 Public Primary Certification Authority 的吊销和测试证书事件有关系
3. 测试证书是 thawte EV SSL CA - G3 签发的
4. thawte EV SSL CA - G3 目前仍然被信任活得好好的
我就来打脸这句话「证书颁发流程出了问题就算你是 Symantec 也照样 ban ,一家 CA 最重要的就是信用和可靠。 」