V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
httpbin - 协议调试工具
httpstatuses - 协议状态码查询
httpie - cURL-like tool for humans
Fiddler
zetaoyang
V2EX  ›  HTTP

Mozilla 正在讨论是否需要吊销多次出现安全问题的中国 CA 机构 Wosign

  •  
  •   zetaoyang · 2016-08-31 09:21:29 +08:00 · 4377 次点击
    这是一个创建于 3007 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在错综复杂的全球互联网中 HTTPS 已经成为保证用户数据安全的必备措施之一。 然而如果作为 HTTPS 基础内容的 SSL 证书也容易出现问题那么互联网的安全性将大大降低。 日前在 Mozilla 安全邮件列表上已经有开发者 正在讨论有关中国 CA 机构 Wosign 的安全事故问题 。 在 2015 年 4 月至 2016 年 7 月 Wosign 已经被发现了三起安全事故,这凸显了 Wosign 在验证流程上存在的问题。

    第一起是 2015 年 4 月份时 Wosign 被发现允许申请免费 SSL 证书的用户使用任意端口进行验证,其违反了限制端口和路径的使用规定。

    第二起是 2015 年 6 月份时 Wosign 被发现允许申请者通过验证子域名控制权的方式获得主域名的控制权。 例如在 Github 上获得了二级域名并前往 Wosign 申请免费证书时通过了验证,然而让人意想不到的是除了该二级域名的证书会得到批准外 Github.com 主域名竟然也可以获得 SSL 证书。 一旦有人利用 Wosign 的这个漏洞申请对应网站的证书则可以用来劫持用户访问并且浏览器不会提示安全问题。

    第三起是今年 7 月份与 Wosign 有关联的 CA 机构 StartCom 被发现允许证书倒着填写日期,倒着填写日期则可以绕过浏览器对 SHA-1 算法的限制(由于 SHA-1 算法的安全性问题现在多个浏览器已经不再支持 SHA-1 证书)。

    Mozilla 目前已经考虑对 Wosign 采取进一步的行动,包括直接吊销 Wosign 的证书—— 这将影响大量使用 Wosign 签发证书的网站。

    相关事件: 2015 年 3 月份时 Google 发现埃及中级 CA 机构 MCS 伪造了 Gmail 的 SSL 证书 ,伪造的证书用来监控 MCS 雇员的通讯以及其他目的。

    Google 在发现后立即吊销了 MCS 的 CA 证书,并且将 MCS 证书的上一级颁发者 CNNIC 根证书一并吊销了。

    尽管后来 CNNIC 宣称对 MCS 伪造 Google 旗下产品证书的事件不知情,但也显示了 CNNIC 对证书管理不善导致了这次事件。

    随后 Mozilla 也加入了 Google 行列对 CNNIC 在 2015 年 4 月 1 日及之后颁发的所有证书进行了吊销。

    第 1 条附言  ·  2016-09-05 09:43:18 +08:00
    转载自蓝电网
    11 条回复    2016-09-05 22:55:17 +08:00
    66beta
        1
    66beta  
       2016-08-31 09:26:26 +08:00
    家里和公司电脑都删了 CNNIC ROOT
    est
        2
    est  
       2016-08-31 09:41:04 +08:00
    @66beta 删了没用。。 WoSign 很多系统不自带,但是跟 StarCom 是交叉签名的。。。。要把 WoSign 的证书导入然后拉黑才行。
    RqPS6rhmP3Nyn3Tm
        3
    RqPS6rhmP3Nyn3Tm  
       2016-08-31 09:56:03 +08:00 via iPhone
    如果不安全,浏览器和系统厂商会去解决
    作为用户不需要考虑
    Cavolo
        4
    Cavolo  
       2016-08-31 09:59:58 +08:00 via iPhone
    @66beta 战网中国已经不用 cnnic 证书了,这个证书已经可以彻底拉黑不用顾虑了
    alexyangjie
        5
    alexyangjie  
       2016-08-31 10:11:25 +08:00
    刚才稍微查了一下,一查差点吓死,原来 StarCom 早在 2015 年就被 WoSign 的老板收购了,现在平台运行在 360 公司,是地地道道的中国公司。。。赶紧换 let's encrypt...
    ivmm
        6
    ivmm  
       2016-08-31 10:13:04 +08:00
    垄断证书的资本家对免费证书的残忍剥削
    processzzp
        7
    processzzp  
       2016-08-31 10:24:35 +08:00 via Android
    @ivmm ???
    哥们你最好是来钓鱼的 🎣
    xuan880
        8
    xuan880  
       2016-09-01 03:15:12 +08:00 via Android
    第三个到底和沃通有啥关系?
    zetaoyang
        9
    zetaoyang  
    OP
       2016-09-01 09:25:07 +08:00
    @xuan880 沃通是一个中国的证书颁发机构( CA )。证书的根 CA 是 StartCom 的。

    如果需要详细解释,请看这个博客: https://techyan.me/2015/08/15/%E6%B2%83%E9%80%9Awosign%E5%85%8D%E8%B4%B9ssl%E8%AF%81%E4%B9%A6%E4%BD%93%E9%AA%8C%E4%B8%8E%E5%88%86%E6%9E%90/?variant=zh-cn
    ZE3kr
        10
    ZE3kr  
       2016-09-04 06:58:56 +08:00 via iPhone
    cyancat
        11
    cyancat  
       2016-09-05 22:55:17 +08:00
    https://gist.github.com/xiaohuilam/8589f2dfaac435bae4bf8dfe0984f69e
    (炸裂

    因为牵扯到 startcom 了,这事还真是复杂。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   895 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:05 · PVG 05:05 · LAX 13:05 · JFK 16:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.