剑客
关注科技互联网

不信任新深知和 StartCom 证书

Mozilla 发现叫我们深知证书颁发机构 (CA) 有技术和管理的失败次数。最严重的是,我们发现他们为了得到周围的截止日期,CAs werebackdating SSL 证书停止由 2016 年 1 月 1 日发行沙 1 SSL 证书。此外,Mozilla 发现我们深知已经获得全部所有权的称为 StartCom 的另一个 CA 和未能披露这,作为按照 Mozilla 策略的要求。我们深知和 StartCom 的代表否认并继续否认两者的这些指控,直到收集了足够的数据证明的两项指控是正确。水平的证明由合并后的公司代表的欺骗导致 Mozilla 的决定不信任未来链接目前包括 WoSign 和 StartCom 的根证书的证书。

具体来说,Mozilla 采取以下行动︰

  1. 不信任证书后 2016 年 10 月 21 日的 notBefore 日期到以下受影响根的链。如果额外的追溯早发现 (通过任何方式) 来规避此控件,然后 Mozilla 将立即和永久撤销信托在受影响的根源。
    • 这种变化将进入火狐 51 释放火车。
    • 代码将使用以下主题可分辨名称来标识根证书,以便该控件也将适用于这些根交叉证书。
      • CN = CA 沃通根证书,OU = null,O = 我们深知 CA 有限公司,C = CN
      • CN = WoSign 认证权威,OU = null,O = 我们深知 CA 有限公司,C = CN
      • CN = 我们深知 G2 认证权威,OU = null,O = 我们深知 CA 有限公司,C = CN
        CN = CA 深知 ECC 根,OU = null,O = 我们深知 CA 有限公司,C = CN
      • CN = StartCom 证书颁发机构,OU = 安全数字证书签署,O = StartCom 有限公司,C = IL
      • CN = StartCom 认证权威 G2,OU = null,O = StartCom 有限公司,C = IL
  2. 添加先前标识追溯沙 1 证书向这些受影响的根 toOneCRL 链接。
  3. 不再接受由安永香港青年进行审计。
  4. 在将来删除这些受影响的根证书 fromMozilla 根存储在一些点。如果 CA 的新的根证书,则接受的 forinclusion 然后 Mozilla 可能协调去除日期与他们的客户迁移到新的根证书的 CA 的计划。否则,Mozilla 可以选择删除它们在任何时间点 3 月 2017 年以后。
  5. Mozilla 保留采取进一步的权利或替代行动。

如果您收到的证书从这些两个 Ca 之一后 2016 年 10 月 21 日,将不会在 Mozilla 产品这种 asFirefox 51 及更高版本,直到这些 Ca 提供不同主题可分辨名称,与 youmanually 的新根证书导入到您的证书链的根证书验证您的证书。您的网站的消费者也将不得不手动导入新的根证书,直到它包含默认情况下,Mozilla 的根存储区中。

每个这些 Ca 可重新申请我们深知,andBug #1311832,StartCom 描述了 inBug #1311824 新的 (更换) 根证书列为。

我们相信,这种反应与 Mozilla 政策是一致的是一我们可以适用于任何其他表现出类似的欺骗手段来规避 Mozilla 的 CA 证书策略、 CA/浏览器论坛基线要求和直接查询从 Mozilla 代表水平的 CA。

Mozilla 安全团队

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址