苹果不再“信任”中国证书颁发机构
在Mozilla-LED调查中发现了WOSIGN的SSL证书发布过程中的多项问题,苹果公司将对IOS和MACO进行修改,阻止公司发布的未来证书。
虽然Apple的Trusted证书商店中没有WOSign根证书,但是由Apple Trusts的两个其他CA证书交叉签名:Startcom和Comodo。这意味着直到现在,Apple产品已经自动通过WoSign中间CA发出的信任证书。
由于WoSign在其证书发布过程中经历了多个控制失败,为Wosign CA免费SSL证书G2中间CA,“我们正在采取行动以保护用户在即将到来的安全更新中,”Apple在IOS和MacOS的支持笔记中表示。“Apple产品将不再相信WoSign CA免费SSL证书G2中间CA.”
该禁令仅适用于WOSIGN颁发的未来证书,而不是在9月19日之前向公共证书透明度(CT)日志服务器发出和发布的证书。这些现有证书将继续信任,直到他们过期,被撤销,或者Apple决定在以后禁止它们。
这类似于Mozilla的CA团队在发现WOSIGN的多个问题之后,包括证据证明证书和由证据支持的强有力,CA在1月1日之后发布的证明书。1然后背对他们违反行业规则。
“Mozilla的CA团队对WoSign / Startcom忠实而竞争地阐述了CA功能的能力失去了信心,”Mozilla团队在对事件的详细分析中表示。“因此,我们提出,从不久的将来开始,莫扎拉产品开始不再相信这两种CA品牌中的任何一个颁发的新发行的证书。”
在这一决定中包含了一个以色列的CA的Startcom,是由于2015年11月默默地获得的Startcom的事实。虽然WOSIGN于9月份表示,两家公司独立运营和管理,有证据表明Startcom一直在使用WoSign的证书发布基础设施和流程。
在自身的分析和响应中,WOSIGN声明,2016年1月1日1月1日的SHA-1截止日期后,只有8个SHA-1证明书被错误地发布,并且这些事件是其系统和API中的错误的结果。
“WoSign仍然致力于不断发展我们的技术,流程和产品,以帮助保持客户和互联网安全,”在调查后的最终报告中表示。“我们相信,我们采取的步骤将确保这种类型的事件再次发生,我们认为对CT的全力支持是我们对监管的承诺。”