違反多項憑證機構要求,Chrome 全面取消對中國沃通的 SSL 證書信任

作者 | 發布日期 2017 年 07 月 11 日 17:33 | 分類 Google , 網路 , 軟體、系統 follow us in feedly

2016 年 9 月 Mozilla 揭發中國憑證機構 WoSign(沃通)偽造證書發行日期、隱瞞收購同行等問題,宣布暫停信任該機構發出的證書,蘋果、Google 也跟隨。近日 Google 宣布,旗下的 Chrome 瀏覽器在 9 月發表新版本後,將對 WoSign 及其收購的 StartCom 簽發所有證書,不論新舊全部取消信任,建議正在使用的網站考慮更換這些數位證書。




中國憑證機構遭揭發多項問題,Chrome 全面取消憑證信任

2016 年 9 月 Mozilla 發表報告指,繼續提供不安全的 SHA-1 加密,中國憑證機構 WoSign 偽造憑證的發行日期;此外,WoSign 在收購以色列同行 StartCom 時沒有披露擁有權變更,基於上述原因,Mozilla 當時表示,將不讓旗下產品信任 WoSign 及 StartCom 的新憑證至少一年。

醜聞曝光後,蘋果也跟進停止信任 WoSign CA Free SSL Certificate G2 中間憑證 。而 Google 則在一個月後表示,Chrome 56 版本不再信任由 WoSign 和 StartCom 新發出的數位證書。

事隔大半年,近日 Google 正式宣布,將在今年 9 月中發表的 Chrome V61 正式版會完全取消對 WoSign 和 StartCom 證書的信任,屆時不論新簽發還是舊有簽發的證書均不被信任。為此,Google 建議網站管理員應盡早更換上述憑證機構發出的證書,不然 Chrome 用戶將無法訪問網站。

(本文由 Unwire.Pro 授權轉載;首圖來源:pixabay

延伸閱讀: