- 论坛徽章:
- 2
|
沃通 呵呵. 现在chrome和firefox都对其采取不信任的措施,还不是自己找的
收购了StartCom,还把StartCom给搞臭了
看https://wiki.mozilla.org/CA:WoSign_Issues里面介绍的这样,还有谁会去用
问题1
沃通 CA 允许证书申请者选择任意端口进行验证,违反了限制端口和路径使用的规定;
问题2
证书申请者如果能证明控制了某个子域名,那么就能获得根域名的证书;
已经研究人员利用沃通的这个失误,获得了一张沃通签发的【GitHub 网站主域名的证书】。
问题3
被沃通并购的 StartCom(也是一家 CA),被发现允许对证书的签署日期进行【倒填】。关于这个“倒填日期”的问题,俺稍微解释一下:
由于如今的运算能力越来越强,SHA1 散列算法的可靠性越来越不够了。一些主流的浏览器,如果发现2016元旦之后签署的 CA 证书,依然采用 SHA1,会给出警告。
沃通的问题在于,它为了帮证书申请人规避浏览器警告,故意把签署日期伪造成2015年底。
问题4
除了英国程序员曝光的那3个问题,再来说一下其他人曝光的问题——
沃通在2015年4月9日到4月14日之间,签发了392个【相同序列号】的证书。
最近在zhe |
|