这是一个创建于 2966 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.
We plan to distrust only newly-issued certificates to try and reduce the impact on web users, as both of these CA brands have substantial outstanding certificate corpuses. Our proposal is that we determine “newly issued” by examining the notBefore date in the certificates. It is true that this date is chosen by the CA and therefore WoSign/StartCom could back-date certificates to get around this restriction. And there is, as we have explained, evidence that they have done this in the past. However, many eyes are on the Web PKI and if such additional back-dating is discovered (by any means), Mozilla will immediately and permanently revoke trust in all WoSign and StartCom roots.
 |
1
EricCartman 2016-09-27 01:22:39 +08:00  1
喜闻乐见,互联网上有些东西还真不敢用国产
|
 |
2
Showfom 2016-09-27 02:02:14 +08:00
哈哈
|
 |
3
Remember 2016-09-27 02:09:48 +08:00
喜大普奔
|
 |
4
zk8802 2016-09-27 02:30:08 +08:00 via iPhone 2
这段话值得注意:
In our policy newsgroup, WoSign proposed that an appropriate response to this list of issues (or the subset of them known at the time they made their proposal, which did not include any of the SHA-1 backdating information) would be to constrain them to issuing in the China market only in future. 真的希望沃通的人不是认真的… |
 |
6
lslqtz 2016-09-27 04:34:38 +08:00
哈哈,那些想用沃通的去吧!
|
|
7
lslqtz 2016-09-27 04:38:17 +08:00 1
这非常棒,我已经开始更新。
http://osu.ppy.sh/ss/6188219 |
|
8
lslqtz 2016-09-27 04:41:45 +08:00
但我发现并没被不信任...
|
 |
9
aprikyblue 2016-09-27 05:08:07 +08:00 via Android
@lslqtz 具体落实措施应该还要一段时间吧。。。更新啥的。。
|
|
10
aprikyblue 2016-09-27 05:16:54 +08:00 via Android
@lslqtz
哦,是新签发的不会再受信任。。 > We plan to distrust only newly-issued certificates to try and reduce the impact on web users, as both of these CA brands have substantial outstanding certificate corpuses. |
 |
11
xrui 2016-09-27 06:33:13 +08:00 via iPhone 1
前几天上百度看见一个首页的新闻:「国内 CA 机构因使用国产加密算法可能会遭遇国外浏览器制裁」。心中一惊,仔细一看,断章取义,小题大做。论做文章的本领,果然是名不虚传。
我是赞同 Mozilla 的,但在不懂英语的人那里,大概 wosign 的问题将会被归结到使用了 sm2 。或许 Mozilla 又要被抵制了? |
 |
12
yexm0 2016-09-27 06:52:11 +08:00 via Android
做的好!
|
 |
13
terence4444 2016-09-27 07:10:02 +08:00 via iPhone
如果我把根证书禁了会有哪些网站用不了?
|
 |
14
alexyangjie 2016-09-27 07:21:28 +08:00
太好了。遇见到了这一天。
|
 |
15
nvidiaAMD980X 2016-09-27 07:26:31 +08:00 via Android
大快人心!
|
 |
16
kn007 2016-09-27 07:38:49 +08:00
干得漂亮
|
 |
17
laoyur 2016-09-27 07:53:47 +08:00 11
想听听那些号称
『你不信任可以不用』 『把百度的吊销了,顶多百度的软件不会被安装。 把沃通吊销了,是一波网站不能用,还有购买付费证书的。 你吊不吊销可以,请不要到哪里都叫嚣着吊销。』 类似言论的现在怎么说 |
 |
18
cnkuner 2016-09-27 08:11:10 +08:00 via Android
完蛋了
|
 |
19
princeofwales 2016-09-27 08:34:32 +08:00
我们公司买的通配符证书,就是 wosign 的
没错,还是我采购的 明年 4 月到期 |
 |
20
devz1984 2016-09-27 08:41:45 +08:00
这个。
影响代码签名证书吗? |
 |
21
initialdp 2016-09-27 08:45:55 +08:00
干得漂亮!
|
 |
22
aveline 2016-09-27 08:47:00 +08:00 via iPhone
喜大普奔
|
 |
23
Shura 2016-09-27 08:56:13 +08:00 via Android
我想起了之前在知乎上看到的问题:“现在程序员都不关心技术而只在意如何站队了吗?”。现在感觉非常有道理,有什么不是自由吗?为什么要对站长进行道德绑架?😂
|
 |
25
kappa 2016-09-27 09:13:58 +08:00 via iPhone
@princeofwales 有态度,别忘了续费
|
 |
26
pubby 2016-09-27 09:18:00 +08:00 via Android
那么还有哪些支持多域名,有效期至少一年的靠谱的服务商?哦,免费的或者便宜的。
唉,用 startSSL 签过几个二级域名 |
 |
27
Quaintjade 2016-09-27 09:24:38 +08:00 via Android
Wosign 现在做了 certificate transparency 了吗?没有已签发证书清单的话,怎样证明某个证书是 back-dated ?
|
 |
28
choury 2016-09-27 09:32:52 +08:00 via Android 1
@Shura 怎么叫道德绑架?要是有一天它给你签了个假证书,或者由于漏洞让别人给你的网站签了个证书怎么办?不要告诉我说你的小网站没人鸟,万一它搞的是 google 呢?毕竟它签过 github 的证书,你要说 github 你也不上,它还签过 alicdn 的,你怕了吗?
|
 |
29
aliuwr 2016-09-27 09:53:05 +08:00
@choury 文中第二段
Some of those turned out, in Mozilla ’ s view, to be not WoSign ’ s fault (e.g. Issue T, a mis-issuance for the domain alicdn.com, which got temporarily taken over by an attacker) 其实很好奇攻击者是如何得到 alicdn 的控制权的,可惜乌云挂了,而阿里自己的安全平台不会公布漏洞详情。 |
 |
30
honeycomb 2016-09-27 10:06:20 +08:00 via Android
|
|
31
choury 2016-09-27 10:33:08 +08:00
@aliuwr 和阿里应该没关系, wosign 自己的漏洞吧,验证域名不严谨,就像 github 那样,而且毕竟这是一个 cdn ,放点东西上去还是挺容易的
|
 |
32
somnus 2016-09-27 10:56:30 +08:00
卧槽...要换 CA 了...
|
 |
33
deeporist 2016-09-27 11:17:48 +08:00 1
Mozilla 的 CA 团队算是放狠话了 劳资已经不信任你了 但给你留点脸面 未来某个时间点开始你的新发证书我们都不信任 过去颁发的既往不咎 算是缓和对网站的冲击 当然你也可以 backdating 来绕过这个限制(因为你 tm 已经干过了) 但没关系 many eyes are on the Web PKI 你要敢做 咱们就彻底再见(大快人心 流氓就该被按在地上摩擦)虽然 wosign 被建议在证书里不包括任何 sha-1 的 backdating 信息(貌似已经接受建议了?) 但是这么做将会限制他们只能在某局域网发证书玩了
|
 |
34
egen 2016-09-27 11:57:51 +08:00
喜闻乐见
|
 |
35
DoraJDJ 2016-09-27 12:02:06 +08:00 via Android 1
Let's encrypt 党看戏中
|
 |
36
gefranks 2016-09-27 12:02:30 +08:00
已吊销国内 CA,iperf 的网站貌似不能访问了,是 startcom 签的
|
 |
37
woshinidie 2016-09-27 12:17:27 +08:00
支持,流氓企业滚粗。
|
 |
38
vivagonna 2016-09-27 13:07:05 +08:00 via Android
好!正打算换成 globalsign 的
|
 |
39
sneezry 2016-09-27 13:17:08 +08:00 1
WoSign 提供在线生成 CSR 的时候没有提醒用户相关风险,而且还鼓励用户不自己生成 CSR :
https://freessl.wosign.com/1405.html 这也与“ CA 不应为用户生成私钥”相抵触: https://wiki.mozilla.org/CA:Problematic_Practices#Distributing_generated_private_keys_in_PKCS.2312_files |
|
40
cnkuner 2016-09-27 13:34:28 +08:00 via Android 1
@princeofwales 很想知道,如果一个 CA 应各种原因导致例如 Firefox 等大份额浏览器不信任,能退款不?合同怎么写的?
|
 |
41
cyg07 2016-09-27 13:51:24 +08:00
以前发现被入侵,也只是说明没被偷就完了。
真正的威胁没人关心 你说没有假冒证书就没有?跟 NSA 的伎俩比起来我们真的是在娱乐。 GlobalSign 公司黑客事件最新报道:证书颁发机构未发现假冒证书 http://www.searchsecurity.com.cn/showcontent_56603.htm 黑客声明攻击 CA 公司 GlobalSign 安全事件报告 https://cn.globalsign.com/company/news-946.html |
 |
42
Ubuntuu 2016-09-27 17:06:07 +08:00
好
|
 |
43
jhdxr 2016-09-27 18:28:48 +08:00 3
http://news.softpedia.com/news/mozilla-ready-to-ban-wosign-certificates-for-one-year-after-shady-behavior-508674.shtml
这个禁令是一年有效期的,一年内如果没什么问题就恢复信任的。 40 多楼居然完全没人提到这一点 |
 |
44
stneng 2016-09-27 19:57:03 +08:00 2
|
 |
45
breeswish 2016-09-27 20:52:26 +08:00 7
看看什么叫做你弱我就踩你 :P
比起 WoSign 由于系统漏洞错误签发、刻意提前了签发时间来说, Symantec (也就是 VeriSign) 员工刻意签发其他域名证书几千张,最后也就是被谴责一下,开了几个人,写了几个报告,就完事了。 VeriSign 可信了?然而 Mozilla/Google 敢不信任 VeriSign ?呵呵。 |
 |
46
slrey 2016-09-27 21:14:49 +08:00
firefox 49.01 ,里很奇怪的是 startcom 下的证书都有效, wosign 底下的有一部分无效,一部分有效。
|
 |
47
xavierskip 2016-09-27 21:19:53 +08:00
@breeswish 请附上来源,或者可以另开一帖讨论此事。
|
 |
48
msg7086 2016-09-27 22:02:01 +08:00 5
@breeswish
员工刻意签发证书,开掉员工。 公司刻意改签发时间,没有做好审核工作,还不愿意写几个报告,于是大家开掉了这家公司。 哪里不对呢? 这种环境里对诚实、透明的要求远远高于技术问题。 你可以有漏洞,但你不能藏着掖着含糊其辞一脸懵逼。 你可以签发错的证书,但是你要有审核机制保证一旦发现了马上 revoke 掉。 Wosign 现在连跑回去看哪些证书是通过漏洞签发的然后 revoke 都做不到,谁陪你玩。 |
 |
50
markocen 2016-09-27 22:17:59 +08:00
|
 |
52
falcon05 2016-09-28 00:47:38 +08:00 via iPhone
鲁迅说过,我不惮以最坏的恶意来揣测中国人, 360 之流把这个论断传播得更远了
|
 |
53
roustar31 2016-09-28 07:28:38 +08:00 1
|
 |
54
Rezark 2016-09-28 09:35:14 +08:00
墙倒众人推! let's encrypt 是火狐旗下的公司,为了开拓中国这块肥沃的数字证书市场,肯定要干掉 wosign 这个本土企业,刚好这次也顺带一起把颁发免费 ssl 证书的 startssl 一起收拾,从此免费 ssl 证书市场就再也没有和他竞争的对手,背后的商业利益让人感到唏嘘!
|
 |
56
pixstone 2016-09-28 10:13:08 +08:00
@Rezark Let's Encrypt is a service provided by the Internet Security Research Group (ISRG), a public benefit organization. Major sponsors are the Electronic Frontier Foundation (EFF), the Mozilla Foundation, Akamai, and Cisco Systems.
https://en.wikipedia.org/wiki/Let%27s_Encrypt 请先看看 Let's Encrypt 的资方好不。并不是旗下,仅仅是给钱了。 |
|
59
breeswish 2016-09-28 12:52:17 +08:00 2
@msg7086 你以为员工仅凭个人意志就敢、就能签发其他域名证书了吗,还是那么大规模的?没有管理层的同意我是不相信的。退一步,如果没有管理层参与,基层员工自己就可以这么做,那么不是有更大的信任问题吗?这表明整个安全机制和验证机制完全失效了。
综上, VeriSign 和 WoSign 两个案例同样都是管理层决策结果, Mozilla 这不是双重标准是什么呢? 另外说到隐瞒的事情,请问 VeriSign 没有隐瞒这个事件了?先是不承认,然后说签了几个,最后 Google 安全研究人员掌握了直接证据全打 VeriSign 脸上了它后来才承认所有事实并开除员工。现在 Mozilla 凭借几个间接证据推断出安全问题,以此作为不可信原因,当然是恰当的,那么 VeriSign 的时候怎么不见跳出来嚷嚷着不信任? |
|
60
breeswish 2016-09-28 12:57:53 +08:00
@msg7086 本次事件中 Mozilla 文章所说的大意是,程序有问题签了错误的证书,这是问题,但最大的问题是人为篡改时间并隐瞒,这表明这家机构是不可信的。根据 Mozilla 所遵循的这个核心原则, VeriSign 完全适用嘛。
我全篇说的就是双重标准的问题,没有说 Mozilla 本次措施不当。 |
|
61
breeswish 2016-09-28 13:02:02 +08:00
|
|
62
breeswish 2016-09-28 13:11:01 +08:00
|
 |
65
VmuTargh 2016-09-29 13:00:59 +08:00 via Android 1
@breeswish 印象中 Google 把 Symantec D 一个 CA 干掉了以示警告了吧。再说了,真干掉 Symantec 全家你一堆网站也别上了。 Google 的 PKI 还是 Symantec 签的呢
|
 |
69
Doxboy 2016-09-30 09:26:14 +08:00
@VmuTargh 什么开小号?按你的逻辑来说 @你的所有人都是开小号?你咋不上天咧。另外,你是有多在意赛门铁克啊,赏你喝茶啦
|
|
72
Doxboy 2016-09-30 17:05:41 +08:00
|
 |
73
Technetiumer 2016-10-02 13:35:46 +08:00
哪天 let's encrypt 也被封,要用 https 和 http2 请必须交保护费了,呵呵,呵呵,呵呵!
comodo 签了 sb 证书很危险,证明有此漏洞,万一是买泛域名证书呢, *.sb ,呵呵,呵呵,呵呵! |
|
74
Quaintjade 2016-10-05 20:45:43 +08:00 2
看了关于 WoSign 的 Mozilla Wiki 和 Mozilla 的报告,各种欢乐。 WoSign 这么逗逼居然都能当 CA ,而且这么一堆 Issue 现在才被暂时撤销 CA 。
https://wiki.mozilla.org/CA:WoSign_Issues https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview# Richard Wang 的英文水平就不吐槽了, CEO 直接上阵在 Google 讨论也不吐槽了,列几个有意思的: 1. BR 里面的“ should not ”一词意思是不推荐(中文大概应该叫“原则上不能”),但有理由的话还是能做的,所以 Issue D 不算违反 BR 。 2. Google 联系 WoSign 时,很坏地不直说 WoSign 的 CPS (Certification Practice Statement)有哪些问题,而是让 WoSign 自己检查签发的证书与 CPS 有什么问题。问题列出来之后, WoSign 很快修正了自己的 CPS 。 Mozilla 评价说它不是按 CPS 签发证书,而是证书怎么签, CPS 之后就怎样更新。 3. 关于 Issue N (用户可以添加非自己控制域名的 bug ) WoSign: 我们 TOS 有写着,如果用户发现证书签发了错误的域名,应该立刻联系我们吊销啊。你看,申请证书的这一步,用户必须打勾同意我们的 TOS 呢。 Mozilla: 如果我是攻击者,我才不会关心你的 TOS 呢!(潜台词:MDZZ) 4. 还是 Issue N WoSign: 我们员工发现过证书包含错误域名,但认为这只是不正常的个案,没有报告 bug 。 Mozilla: 这要是真的话,那简直是醉了 (This is amazing, if true.) 如果你的员工认为签发错误证书不是大问题,这可是相当严重的错误 (quite badly wrong)。 5. WoSign 签过 SM2 算法证书( SM2 不是 BR 允许的椭圆算法),而且序列号还与另外的证书相同。 WoSign 说自己在中国注册,必须遵守当地法规,积极配合中国的浏览器测试 SM2 算法能否被国际 CA 使用。 Mozilla: 我表示怀疑…… 6. WoSign 发了事件报告,结果报告中的截图又被发现另一个小 Issue (使用了不安全的旧版本软件) 7. WoSign: 有问题的证书只会签给中国市场 (C=CN) Mozilla: 滚…… 8. WoSign: 关于 62 张日期有问题的证书我们一一询问和确认了,都是程序问题,不是人为的。 Mozilla: 哦?那就很有趣了,我们来看个例子……(照着 WoSign 的说法构造出了一个很荒谬的可能性一,同时构造了 WoSign 人为签发伪造日期证书的可能性二) |
|
75
Quaintjade 2016-10-05 20:46:52 +08:00
Symantec/Verisign 只能说是 Too big to fail , Google 也只能放些狠话,没法连根拔。
|
|
76
lslqtz 2016-10-09 08:53:13 +08:00
StartSSL 不一定会完,他的证书签发都带 CT 。
|
 |
77
Khlieb 2016-11-02 10:35:00 +08:00
@EricCartman 国内店大欺客的女干商真的很气人
|
 |
78
wkl17 2017-01-09 19:47:21 +08:00
|
Select Language