隨著蘋果、Google 和 Mozilla 宣布停止信任中國憑證機構 WoSign 的憑證,微軟亦緊隨他們步伐,成為第四間不再認可 WoSign(沃通)及 StartCom 憑證的大型科技公司。微軟認為該兩間憑證機構的水平不符合他們的標準,不久之後,旗下 Internet Explorer 和 Edge 都不會信任他們的憑證。WoSign 回應指,此舉只針對 WoSign 老根證書系統簽發的證書,並非目前 WoSign 新系統簽發的證書。
一年前,WoSign 和 StartCom 已經開始失去聲譽,根據 SSL Labs 所表示,瀏覽器廠商已經對 WoSign 和 StartCom 的技術和管理能力失去信任。此外,WoSign 曾被 Mozilla 指控不誠實,稱他們為了繼續提供不安全的 SHA-1 加密,曾偽造憑證的發行日期,而且沒有表明 StartCom 擁有權變更。但不幸的是,兩間公司都提供免費憑證,所以他們的憑證都有大量用户使用。
Mozilla 是第一間宣佈不再信任 WoSign 和 StartCom 新發行憑證的瀏覽器公司,之後蘋果亦在 2016 年停止信任WoSign CA Free SSL Certificate G2 中間憑證,Google 隨後在 2017 年 7 月亦正式宣佈取消對 WoSign 和 StartCom 證書的信任,他們表示這兩間憑證機構並不符合應有的標準。
現時,微軟已經成為第四間停止信任有關憑證的公司,微軟代表聲稱中國的 WoSign 和 StartCom 不符合他們的 Trusted Root Program 所要求的標準,當中不當行為包括重複使用證書序號、把 SHA-1 憑證的開始日(notBefore)設回以前、錯誤發佈證書等。
微軟為免影響現有的 WoSign 憑證用户,他們把憑證的開始日(notBefore)設置 2017 年 9 月 26 日,現有證書可以繼續運行,直到它們自動過期,在 2017 年 9 月之後發行的任何憑證將不能於 Windows 10 獲信任。
WoSign 其後於網站表示,微軟的公告是指由 WoSign 老根證書系統簽發的證書,並非目前 WoSign 新系統簽發的證書,2016 年 11 月 21 日上線至今的新證書產品不受任何影響,支持所有瀏覽器和移動終端。WoSign 又稱,近期 Google 和 Mozilla 都是針對 WoSign 老根證書系統簽發的證書,而有關系統早在 2016 年 10 月就已停止使用。
Source : zdNet