Mozilla本周宣布,在經過一連串的調查後, 決定將中國憑證業者沃通(WoSign)自憑證信賴名單中剔除, 為期至少一年。
Mozilla總計調查了14項有關WoSign與StartCom在頒發憑證(CA)時所發生的意外事件, 結論直指WoSign故意違反規定, 因此不再信賴該機構所頒發的憑證。
根據調查, WoSign早在去年的11月1日買下以色列的憑證機構Star tCom,取得百分之百的股份, 但並未公開揭露StartCom主導權的轉移, 且雖然StartCom號稱獨立營運, 卻已使用WoSign的憑證架構, 違反了Mozilla的CA憑證維護政策。
此外,WoSign還故意偽造憑證的頒發日期。 這是因為各家瀏覽器為確保安全已封鎖今年1月以後釋出的SHA- 1憑證, 然而Mozilla卻發現WoSign竄改今年頒發的SHA- 1憑證,將憑證頒發日期改至去年。
至於WoSign的免費憑證服務亦包含兩大臭蟲, 一是當使用者證明了某個子網域的控制權時, WoSign憑證即可涵蓋主網域, 其次則是在驗證後還允許使用者新增任何的控制網域, 這也是為什麼WoSign在去年曾捅出一個大婁子— 把GitHub的憑證發給了一名學生。
總之, Mozilla的CA團隊已對WoSign及StartCom的能力失去信心,並決定未來Mozilla的產品都將不再信賴由WoSign或StartCom所頒發的新憑證,至少為期一年, 之後再看這兩家業者的表現來決定是否重新將它們納入信賴名單中。