偽造憑證發行日期、隱暪收購同行 中國 CA WoSign 將不獲 Mozilla 信任

日前 Mozilla 發表報告指,為了繼續提供不安全的 SHA-1 加密,中國憑證機構 WoSign 偽造憑證的發行日期;此外 WoSign 被指收購同行 StartCom 時沒有披露擁有權變更,違反 Mozilla 政策,Mozilla 旗下產品因此準備不會信任 WoSign 新發的憑證最少一年。報告又指,為 WoSign 核數的安永香港(EY)未有察覺問題。

日前 Mozilla 發表報告指,為了繼續提供不安全的 SHA-1 加密,中國憑證機構 WoSign 偽造憑證的發行日期;此外 WoSign 被指收購同行 StartCom 時沒有披露擁有權變更,違反 Mozilla 政策,Mozilla 旗下產品因此準備不會信任 WoSign 新發的憑證最少一年。報告又指,為 WoSign 核數的安永香港(EY)未有察覺問題。

 

由於 SHA-1 加密較不安全,微軟、Google、Mozilla 紛紛棄用,今年起新的 SHA-1 憑證均無效,然而 WoSign 仍繼續使用,把憑證的開始日 (notBefore) 設回 2016 年之前,使瀏覽器不會認為憑證在 2016 年後頒發而封鎖。

除此之外,WoSign 被指收購以色列同行 StartCom 時沒有披露擁有權變更,違反 Mozilla CA Certificate Maintenance Policy 第五部分。StartCom 曾經發出不恰當的憑證。

Mozilla 報告亦透露,Google 曾於 2015 年接觸 WoSign,對 WoSign 發出的證書違反業界指引 (Baseline Requirements )表達關注,促請 WoSign 檢查證書有否違反他們的證書頒發準則( Certification Practice Statement)。Google 特別指出,WoSign 當時的核數師,即香港安永 (EY)理應能察覺問題。

基於種種原因,Mozilla 「已對 WoSign/StartCom 能真誠和稱職地屨行憑證機構的責任失去信心」,提出在將來不讓旗下產品相信 WoSign 及 StartCom 的新憑證,為期 12 個月。如要重新被信任,WoSign 要被重新審核,但不能再由安永香港負責。

WoSign 於今年八月被發現向一般人發出 GitHub 主域名的證書。當時有人正為 「med.ucf.edu」向 WoSign 申請憑證,卻發現連主域名 ucf.edu 的憑證亦一併發出。為了測試,他再用自己的 GitHub Pages 申請憑證,結果 WoSign 連 Github 主域名的憑證也發出。

Source : Arcs Tcchnica , The Register, The Hackers News