中國沃通違反多項憑證機構規範 Chrome 取消 SSL 證書信任
去年九月左右,Mozilla 才揭發中國憑證機構 WoSign (沃通) 有偽造 SSL 證書與發行日期,以及隱瞞收購以色列 StartCom 等問題,故宣布取消 Chrome 瀏覽器 SSL 信任,並且建議目前正在使用上述憑證站長,趕緊更換其他符合規範的數位證書。
依據 Mozilla 報告指出中國憑證機構 WoSign 不僅繼續提供不安全 SHA-1 加密,而且還偽造憑證發行日期,此外 WoSign 沃通在收購同行位在以色列 StartCom 並未揭露擁有權變更,基於上述理由便讓旗下所有產品對於 WoSign 及 StartCom 新憑證不被信任至少一年。
就在這消息曝光後,蘋果公司也跟進停止信任 WoSign CA Free SSL Certificate 憑證,一個月後 Google 也接力表態,尤其是在 Chrome 56 版本後不再信任他們的憑證。
相隔大半年後,Google 也正式宣布在今年 9 月中發表 Chrome V61 正式版,也會完全取消對 WoSign 和 StartCom 證書信任,因此網站管理員們應盡快更換 SSL 證書否則 Chrome 用戶將會無法造訪網站。
Final removal of trust in WoSign and StartCom Certificates 論壇資料:連結