solidot新版网站常见问题,请点击这里查看。

Mozilla考虑对沃通CA采取行动

Firefox 安全
pigsrollaroundinthem (39396)发表于 2016年08月25日 15时28分 星期四
来自先杀再说部门
在Mozilla安全邮件列表上,开发者 Gervase Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑是否对沃通CA采取行动。Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;2015年6月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名(Base Domain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了github.com、github.io和 www.github.io的证书;2016年7月,与沃通CA有关联的StartCom CA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。
「星期四」 Hello Thursday

Mozilla考虑对沃通CA采取行动

在Mozilla安全邮件列表上,开发者 Gervase Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑是否对沃通CA采取行动。Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;2015年6月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名(Base Domain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了github.com、github.io和 www.github.io的证书;2016年7月,与沃通CA有关联的StartCom CA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。

pigsrollaroundinthem 发表于

2016年08月25日 15时28分