CA SSL 证书封禁风波


HTTP明文协议下的互联网非常不安全,各类网站劫持、数据泄露事件经常发生,HTTPS加密重要性已经成为业界共识。百度、阿里巴巴、必应等越来越多的互联网巨头相继启用全站HTTPS加密,保护用户数据和隐私安全,逐步告别HTTP明文“裸奔”时代。受巨头示范作用影响,越来越多的网站意识到启用HTTPS加密的重要性。
Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令。原因是这两家 CA 试图规避 SHA-1 停用政策。
该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算法的证书。而 Mozilla 指责沃通今年还在签发 SHA-1 签名的证书,并将签发日期倒填成去年 12 月份。虽然 Mozilla 也允许一些其它的 CA 在 2016 年 1 月 1 日之后继续签发 SHA-1 证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的 CA 这样做,而显然沃通没有得到同意。
---------------------------------------------------------------
沃通秘密收购了 StartCom
此外,沃通似乎在否认其收购了以色列 CA 公司 StartCom。Mozilla 说,沃通已经于 2015 年 11 月 1 日百分百地收购了 StartCom。而另一方面,据奇虎 360 称,它共计持有 84% 的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。此外在 Mozilla 披露的技术细节中显示,StartCom 已经开始使用沃通的基础架构来签发新的证书了。而且StartCom 也和沃通一样在 2016 年采用了倒填日期的手段来签发 SHA-1 证书。Mozilla 的安全工程师也展示了这种违例的案例细节。
Mozilla 的调查发现,一个和 GeoTrust CA 合作了多年的付费处理机构 Tyro 突然在 6 月中旬使用 StartCom 部署了一个 SHA-1 签名的证书,而此前该机构从未和 StartCom 有过合作。该证书看起来是在 2015 年 12 月 20 日签发的,而在同一个日期 StartCom 签发大量的 SHA-1 证书。Mozlla 发现这些证书部署于 2016 年中,这很不正常,这显然是采用倒填日期来规避 SHA-1 停用的策略。这些问题以及其它的更多问题让 Mozilla 决定在至少一年内不再信任沃通和 StartCom 的 SSL 证书。
沃通(WoSign)宣布完成股权投资以色列CA 公司StartCom,双方于去年8月30日签订了股权购买协议,双方积极配合按照协议履行各自的义务,于2016年9月19日完成股权投资的第一阶段工作,并按照协议于近日双方发布公告。沃通(WoSign)与StartCom从2010年就一直有紧密的合作关系,不仅StartCom根证书为沃通根证书提供交叉签名服务,而且StartCom一直在利用其先进技术优势为沃通提供PKI技术服务,指导沃通成功通过WebTrust国际审计和预置沃通根证书到各种浏览器和操作系统中。双方一直在共享有关基础设施、技术开发和相关技术服务资源,为双方用户提供最优质的服务。
经过多年的发展,沃通已经成为SSL证书中国市场第一的全球信任的领先的电子认证服务机构(CA),而StartCom也已经发展成为全球第6大CA,用户覆盖全球两百多个国家和地区,双方都认为有必要更加紧密地合作,发挥双方的优势,为中国用户和全球用户提供更好的产品和更优质的服务。
沃通对StartCom 的投资,将助力StartCom拓展全球市场,原StartCom系统和管理团队不变,沃通和StartCom两家公司各自独立运作和管理,并长期保持两个品牌独立发展。StartCom在获得沃通投资后已经在英国和西班牙设立分公司,为欧洲用户和全球用户提供更好的本地化优质服务。同时,StartCom已经在中国设立研发中心,为StartCom研发了除了StartSSL证书产品外的其他相关产品和服务,并将陆续推出其他PKI相关产品和服务。
2016年4月14日,沃通SSL证书正式登陆阿里云平台云盾证书服务,成为阿里云平台首个数字证书合作伙伴,联手打造“云平台+HTTPS加密”安全生态链。沃通SSL证书将为阿里云平台用户,提供强大的SSL加密保护,保障用户、应用程序和服务器之间的数据传输安全,同时为云服务器提供关键认证,构建更加安全可信的云服务环境。在此之前,沃通CA已经成功为微软Azure云平台和360云平台提供SSL证书服务。
沃通CA项目负责人表示,与阿里云的合作可以说是“水到渠成”,阿里云作为国内领先的平台化云服务公司,希望找出各个精准领域的专业合作伙伴,为平台用户提供专业的产品和技术服务,而沃通CA的专业产品、技术实力和行业经验,成为双方合作的契机。
沃通CA拥有十余nian的数字证书行业经验,在中国SSL证书市场的占有率位居第一,国内30%以上的HTTPS网站选用沃通SSL证书。沃通CA成功的项目经验,使整个项目的沟通和实施过程更加顺畅,从前期需求沟通、技术对接、定制开发、测试联调到最终上线仅用了不到2个月的时间。在操作规程方面,沃通CA通过WebTrust国际认证,严格按照国际标准制定电子认证业务规则(CPS),签发、管理、吊销、更新证书或密钥等证书服务生命周期中的业务实践,都严格遵循CPS规则的详细描述和声明。在安全保障方面,沃通CA在物理安全、数据库安全、运行安全管理、系统安全、人员安全、密钥管理等方面有十分严格的规程,有完善的安全审计、运行监控、容灾备份、事故快速反应等管理措施,对身份认证、访问控制、防病毒防攻击等方面也有强大的工具支撑,还提供完善的风险承保计划。
沃通SSL精灵,让网站HTTPS永不过期。沃通SSL精灵V1.0(www.pki.click)正式上线,SSL证书自动化配置工具,一键搞定HTTPS。把原本需耗时几个工作日甚至几周的痛苦流程缩短到30秒,实现SSL证书自动申请、自动安装和自动续期,彻底解决多年来困扰用户的证书申请麻烦和证书安装繁琐的问题。
---------------------------------------------------------------
Mozilla 考虑对沃通 CA 采取行动 或许会永久封杀
Mozilla 说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla 将准备封杀这两个公司的所有证书。“许多人都在盯着 Web PKI 安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla 会立即永久地取消对沃通和 StartCom 根证书的信任。”该报告中说。此外,Chrome 和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla 说。
在Mozilla安全邮件列表上,开发者 Gervase Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑是否对沃通CA采取行动。Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;
2015年6月,免费证书申请者发现如果他们能证明控制了子 域名那么就能获得基础域名(Base Domain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了 github.com、github.io和 www.github.io的证书;2016年7月,与沃通CA有关联的StartCom CA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的 SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。
---------------------------------------------------------------
承担错误的责任,沃通 CEO 王高华辞职
2016年10月5日,Mozilla 与 Qihoo 360、StartCom 和 WoSign 的代表在伦敦召开会议,讨论下一步行动,Mozilla 将在不久后公布其计划。10月7日,沃通(WoSign) 公布了它的最新事故报告,CEO王高华正式宣布辞职。
在报告中,王高华称他在2015年通知母公司沃通有意收购StartCom,这项收购计划得到了奇虎的支持。2015年8月沃通与StartCom达成了收购协议,但最终付款(第一阶段)是在2016年9月完成的。沃通辩解称没有更早披露收购StartCom是想等到股权投资的第一阶段工作完成。在报告中,沃通承认它在2016年1月1日之后签发了64个倒填日期的SHA-1证书,王高华表示承担错误的责任。奇虎决定,StartCom将与沃通分开运营,StartCom将由奇虎直接管理,奇虎首席安全官谭晓生将担任StartCom的主席,Inigo Barreira担任StartCom的 CEO,而王高华将不再担任沃通CEO。
---------------------------------------------------------------
关于沃通WoSign
沃通(WoSign)是一家获得由工信部颁发的电子认证服务许可证和通过国际认证的全球信任的证书颁发机构(CA),已为全球140多个国家和地区的十几万个网站颁发了全球信任的SSL证书。2015年初,沃通(WoSign)率先推出3年期多域名免费SSL证书,免费力度全球独家,深受全球用户称赞和欢迎。沃通免费SSL证书结合沃通SSL精灵,将为全球任何需要部署SSL证书的网站快速实现HTTPS加密,保障网站信息传输安全。沃通免费SSL证书+SSL精灵这对“神器组合”必将推动全网普及HTTPS加密,为保护网上用户隐私安全做出历史性的贡献。
---------------------------------------------------------------
Google 认为沃通系统不符合发放证书的基本要求
2017年7月,沃通之前宣布其通过了 Cure 53 白盒子安全测试,但沃通只公布了报告的总结版。Google 在阅读报告的完整版之后认为 “根据完整版的安全测试报告,沃通新系统不符合 (BR non-compliance) 发放证书的基本要求。现有的系统并不能通过审计,沃通现有系统需要相当多的修改才能通过审计” 。可在论坛上围观沃通王高华和 Google 的正面冲突。
---------------------------------------------------------------
火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任
继谷歌之后火狐也跟进,准备完全取消对沃通, Startcom 和 CNNIC 的信任。火狐,Google 和苹果已经不信任沃通、Startcom 和 CNNIC 新颁发的证书,但是已经颁发的证书目前已白名单的形式信任。当 Google 和火狐完全取消沃通, Startcom 和 CNNIC 证书后,所有使用这些证书的网站都会报错,无法访问。Google 和火狐都督促使用以上证书的网站,“立即” 更换证书。"
---------------------------------------------------------------
根证书颁发机构背景存疑,Firefox 和 Edge 将其排除在外
2022年12月上旬消息,Mozilla 和微软已经对 TrustCor 的三个根证书采取了行动,这些根证书现在不再被 Firefox 和 Edge 浏览器所信任。
整个事情的起因可以追溯到今年年初,当时卡尔加里大学(University of Calgary)教授 Joel Reardon 在一系列总下载量超过 4600 万次的 Android 应用程序中发现了有收集用户数据的恶意行为。调查发现,这些软件中的恶意代码都是由 Measurement Systems 开发的,其 SDK 包含这些恶意代码,而且 Measurement Systems 还与一家为美国政府从事网络情报和情报拦截工作的承包商之间存在联系。进一步调查还发现,Measurement Systems 和 TrustCor 的域名都是由 Vostrom Holdings 所注册,注册时间仅相隔一个月;这两个公司实体都有相同的公司管理人员;TrustCor 运营的 Msgsafe “加密” 电子邮件服务,包含 Measurement Systems 的间谍软件 SDK,而且该服务实际上是以明文形式发送电子邮件,用户的电子邮件一览无余,与 “加密” 毫无关系。

虽然目前没有证据表明 TrustCor 作为一家根证书颁发机构(CA)有违反相应政策或程序的行为,也没有证据表明他们曾错误地颁发了受信任的证书,但调查结果使人们对 TrustCor 作为公众信任的 CA 运营的能力产生了合理怀疑。Mozilla 项目经理 Kathleen Wilson 就表示:对 TrustCor 的担忧已经得到证实,TrustCor 继续成为 Mozilla Root Program 成员的风险高于对最终用户的好处。

正因为如此,目前 Mozilla 和微软都将 TrustCor 列入了不再信任的名单中,其中 Firefox 将不信任的日期设定为 2022 年 11 月 30 日,而微软将该日期设定为 2022 年 11 月 1 日。Google 的 Chrome 和苹果的 Safari 暂时没有采取任何行动,不确定他们会在何时跟进。虽然 Chrome 和 Safari 暂时没有跟进,但用户可以在浏览器中手动删除或选择不信任 TrustCor 证书(上图以 Safari 浏览器为例)。
本文源自:互联网
Mozilla 基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后,宣布了这个禁令。原因是这两家 CA 试图规避 SHA-1 停用政策。
该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1 日开始就停止接受采用陈旧的 SHA-1 签名算法的证书。而 Mozilla 指责沃通今年还在签发 SHA-1 签名的证书,并将签发日期倒填成去年 12 月份。虽然 Mozilla 也允许一些其它的 CA 在 2016 年 1 月 1 日之后继续签发 SHA-1 证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的 CA 这样做,而显然沃通没有得到同意。
---------------------------------------------------------------
沃通秘密收购了 StartCom
此外,沃通似乎在否认其收购了以色列 CA 公司 StartCom。Mozilla 说,沃通已经于 2015 年 11 月 1 日百分百地收购了 StartCom。而另一方面,据奇虎 360 称,它共计持有 84% 的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。此外在 Mozilla 披露的技术细节中显示,StartCom 已经开始使用沃通的基础架构来签发新的证书了。而且StartCom 也和沃通一样在 2016 年采用了倒填日期的手段来签发 SHA-1 证书。Mozilla 的安全工程师也展示了这种违例的案例细节。
Mozilla 的调查发现,一个和 GeoTrust CA 合作了多年的付费处理机构 Tyro 突然在 6 月中旬使用 StartCom 部署了一个 SHA-1 签名的证书,而此前该机构从未和 StartCom 有过合作。该证书看起来是在 2015 年 12 月 20 日签发的,而在同一个日期 StartCom 签发大量的 SHA-1 证书。Mozlla 发现这些证书部署于 2016 年中,这很不正常,这显然是采用倒填日期来规避 SHA-1 停用的策略。这些问题以及其它的更多问题让 Mozilla 决定在至少一年内不再信任沃通和 StartCom 的 SSL 证书。
沃通(WoSign)宣布完成股权投资以色列CA 公司StartCom,双方于去年8月30日签订了股权购买协议,双方积极配合按照协议履行各自的义务,于2016年9月19日完成股权投资的第一阶段工作,并按照协议于近日双方发布公告。沃通(WoSign)与StartCom从2010年就一直有紧密的合作关系,不仅StartCom根证书为沃通根证书提供交叉签名服务,而且StartCom一直在利用其先进技术优势为沃通提供PKI技术服务,指导沃通成功通过WebTrust国际审计和预置沃通根证书到各种浏览器和操作系统中。双方一直在共享有关基础设施、技术开发和相关技术服务资源,为双方用户提供最优质的服务。
经过多年的发展,沃通已经成为SSL证书中国市场第一的全球信任的领先的电子认证服务机构(CA),而StartCom也已经发展成为全球第6大CA,用户覆盖全球两百多个国家和地区,双方都认为有必要更加紧密地合作,发挥双方的优势,为中国用户和全球用户提供更好的产品和更优质的服务。
沃通对StartCom 的投资,将助力StartCom拓展全球市场,原StartCom系统和管理团队不变,沃通和StartCom两家公司各自独立运作和管理,并长期保持两个品牌独立发展。StartCom在获得沃通投资后已经在英国和西班牙设立分公司,为欧洲用户和全球用户提供更好的本地化优质服务。同时,StartCom已经在中国设立研发中心,为StartCom研发了除了StartSSL证书产品外的其他相关产品和服务,并将陆续推出其他PKI相关产品和服务。
2016年4月14日,沃通SSL证书正式登陆阿里云平台云盾证书服务,成为阿里云平台首个数字证书合作伙伴,联手打造“云平台+HTTPS加密”安全生态链。沃通SSL证书将为阿里云平台用户,提供强大的SSL加密保护,保障用户、应用程序和服务器之间的数据传输安全,同时为云服务器提供关键认证,构建更加安全可信的云服务环境。在此之前,沃通CA已经成功为微软Azure云平台和360云平台提供SSL证书服务。
沃通CA项目负责人表示,与阿里云的合作可以说是“水到渠成”,阿里云作为国内领先的平台化云服务公司,希望找出各个精准领域的专业合作伙伴,为平台用户提供专业的产品和技术服务,而沃通CA的专业产品、技术实力和行业经验,成为双方合作的契机。
沃通CA拥有十余nian的数字证书行业经验,在中国SSL证书市场的占有率位居第一,国内30%以上的HTTPS网站选用沃通SSL证书。沃通CA成功的项目经验,使整个项目的沟通和实施过程更加顺畅,从前期需求沟通、技术对接、定制开发、测试联调到最终上线仅用了不到2个月的时间。在操作规程方面,沃通CA通过WebTrust国际认证,严格按照国际标准制定电子认证业务规则(CPS),签发、管理、吊销、更新证书或密钥等证书服务生命周期中的业务实践,都严格遵循CPS规则的详细描述和声明。在安全保障方面,沃通CA在物理安全、数据库安全、运行安全管理、系统安全、人员安全、密钥管理等方面有十分严格的规程,有完善的安全审计、运行监控、容灾备份、事故快速反应等管理措施,对身份认证、访问控制、防病毒防攻击等方面也有强大的工具支撑,还提供完善的风险承保计划。
沃通SSL精灵,让网站HTTPS永不过期。沃通SSL精灵V1.0(www.pki.click)正式上线,SSL证书自动化配置工具,一键搞定HTTPS。把原本需耗时几个工作日甚至几周的痛苦流程缩短到30秒,实现SSL证书自动申请、自动安装和自动续期,彻底解决多年来困扰用户的证书申请麻烦和证书安装繁琐的问题。
---------------------------------------------------------------
Mozilla 考虑对沃通 CA 采取行动 或许会永久封杀
Mozilla 说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla 将准备封杀这两个公司的所有证书。“许多人都在盯着 Web PKI 安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla 会立即永久地取消对沃通和 StartCom 根证书的信任。”该报告中说。此外,Chrome 和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla 说。
在Mozilla安全邮件列表上,开发者 Gervase Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑是否对沃通CA采取行动。Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;
2015年6月,免费证书申请者发现如果他们能证明控制了子 域名那么就能获得基础域名(Base Domain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了 github.com、github.io和 www.github.io的证书;2016年7月,与沃通CA有关联的StartCom CA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的 SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。
---------------------------------------------------------------
承担错误的责任,沃通 CEO 王高华辞职
2016年10月5日,Mozilla 与 Qihoo 360、StartCom 和 WoSign 的代表在伦敦召开会议,讨论下一步行动,Mozilla 将在不久后公布其计划。10月7日,沃通(WoSign) 公布了它的最新事故报告,CEO王高华正式宣布辞职。
在报告中,王高华称他在2015年通知母公司沃通有意收购StartCom,这项收购计划得到了奇虎的支持。2015年8月沃通与StartCom达成了收购协议,但最终付款(第一阶段)是在2016年9月完成的。沃通辩解称没有更早披露收购StartCom是想等到股权投资的第一阶段工作完成。在报告中,沃通承认它在2016年1月1日之后签发了64个倒填日期的SHA-1证书,王高华表示承担错误的责任。奇虎决定,StartCom将与沃通分开运营,StartCom将由奇虎直接管理,奇虎首席安全官谭晓生将担任StartCom的主席,Inigo Barreira担任StartCom的 CEO,而王高华将不再担任沃通CEO。
---------------------------------------------------------------
关于沃通WoSign
沃通(WoSign)是一家获得由工信部颁发的电子认证服务许可证和通过国际认证的全球信任的证书颁发机构(CA),已为全球140多个国家和地区的十几万个网站颁发了全球信任的SSL证书。2015年初,沃通(WoSign)率先推出3年期多域名免费SSL证书,免费力度全球独家,深受全球用户称赞和欢迎。沃通免费SSL证书结合沃通SSL精灵,将为全球任何需要部署SSL证书的网站快速实现HTTPS加密,保障网站信息传输安全。沃通免费SSL证书+SSL精灵这对“神器组合”必将推动全网普及HTTPS加密,为保护网上用户隐私安全做出历史性的贡献。
---------------------------------------------------------------
Google 认为沃通系统不符合发放证书的基本要求
2017年7月,沃通之前宣布其通过了 Cure 53 白盒子安全测试,但沃通只公布了报告的总结版。Google 在阅读报告的完整版之后认为 “根据完整版的安全测试报告,沃通新系统不符合 (BR non-compliance) 发放证书的基本要求。现有的系统并不能通过审计,沃通现有系统需要相当多的修改才能通过审计” 。可在论坛上围观沃通王高华和 Google 的正面冲突。
---------------------------------------------------------------
火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任
继谷歌之后火狐也跟进,准备完全取消对沃通, Startcom 和 CNNIC 的信任。火狐,Google 和苹果已经不信任沃通、Startcom 和 CNNIC 新颁发的证书,但是已经颁发的证书目前已白名单的形式信任。当 Google 和火狐完全取消沃通, Startcom 和 CNNIC 证书后,所有使用这些证书的网站都会报错,无法访问。Google 和火狐都督促使用以上证书的网站,“立即” 更换证书。"
---------------------------------------------------------------
根证书颁发机构背景存疑,Firefox 和 Edge 将其排除在外
2022年12月上旬消息,Mozilla 和微软已经对 TrustCor 的三个根证书采取了行动,这些根证书现在不再被 Firefox 和 Edge 浏览器所信任。
整个事情的起因可以追溯到今年年初,当时卡尔加里大学(University of Calgary)教授 Joel Reardon 在一系列总下载量超过 4600 万次的 Android 应用程序中发现了有收集用户数据的恶意行为。调查发现,这些软件中的恶意代码都是由 Measurement Systems 开发的,其 SDK 包含这些恶意代码,而且 Measurement Systems 还与一家为美国政府从事网络情报和情报拦截工作的承包商之间存在联系。进一步调查还发现,Measurement Systems 和 TrustCor 的域名都是由 Vostrom Holdings 所注册,注册时间仅相隔一个月;这两个公司实体都有相同的公司管理人员;TrustCor 运营的 Msgsafe “加密” 电子邮件服务,包含 Measurement Systems 的间谍软件 SDK,而且该服务实际上是以明文形式发送电子邮件,用户的电子邮件一览无余,与 “加密” 毫无关系。

虽然目前没有证据表明 TrustCor 作为一家根证书颁发机构(CA)有违反相应政策或程序的行为,也没有证据表明他们曾错误地颁发了受信任的证书,但调查结果使人们对 TrustCor 作为公众信任的 CA 运营的能力产生了合理怀疑。Mozilla 项目经理 Kathleen Wilson 就表示:对 TrustCor 的担忧已经得到证实,TrustCor 继续成为 Mozilla Root Program 成员的风险高于对最终用户的好处。

正因为如此,目前 Mozilla 和微软都将 TrustCor 列入了不再信任的名单中,其中 Firefox 将不信任的日期设定为 2022 年 11 月 30 日,而微软将该日期设定为 2022 年 11 月 1 日。Google 的 Chrome 和苹果的 Safari 暂时没有采取任何行动,不确定他们会在何时跟进。虽然 Chrome 和 Safari 暂时没有跟进,但用户可以在浏览器中手动删除或选择不信任 TrustCor 证书(上图以 Safari 浏览器为例)。
本文源自:互联网