转载自：Solidot 

Mozilla 披露的 StartCom（StartSSL） 和沃通（WoSign）的 SSL 证书签发问题持续发酵。

9 月 30 日苹果公司于 [1]中宣布屏蔽其对沃通中级 CA 证书 WoSign CA Free SSL Certificate G2 的信任，并将视调查进展对沃通 和 StartCom 采取进一步行动。沃通并不处于苹果产品的可信根证书列表中，而是通过与 StartCom 和 Comodo 的交叉签名来建立其于苹果产品中的信任。

为了避免影响现有的沃通证书持有者，于 2016 年 9 月 19 日前签发且登记在Certificate Transparency[2]公共日志服务器上的证书仍将被信任。但鉴于沃通和 StartCom 并未积极登记其于 2015 年及之前签发的证书，且 2016 年上半年签发的证书均未登记，2016 年 9 月 19 日前获签发的沃通证书持有者仍有可能受到影响。担心受到影响的用户可于 [3] 及 [4] 中检查所持有证书的登记状态。

尽管沃通近期坏消息不断，但值得注意的是 [5]，亦未对其信任状态采取任何实际行动，之前发布的报告仅代表调查小组的建议。

针对这一调查结果，Mozilla 与奇虎 360（[6]，它共计持有 84% 的沃通股份）、StartCom 和沃通的代表于 10 月 5 日在伦敦召开会议，讨论下一步行动，Mozilla 将在不久后公布其计划。 

10 月 7 日，沃通公布了它的[7]，CEO 王高华正式宣布辞职。

在沃通的报告中，王高华称他在 2015 年通知其母公司奇虎 360，沃通有意收购 StartCom，这项收购计划得到了奇虎的支持。2015 年 8 月沃通与 StartCom 达成了收购协议，但最终付款（第一阶段）是在 2016 年 9 月完成的。沃通辩解称没有更早披露收购 StartCom 是想等到股权投资的第一阶段工作完成。

在报告中，沃通承认它在 2016 年 1 月 1 日之后签发了 64 个倒填日期的 SHA-1 证书，王高华表示承担错误的责任。

奇虎决定，StartCom 将与沃通分开运营，StartCom 将由奇虎直接管理，奇虎首席安全官谭晓生将担任 StartCom 的主席，Inigo Barreira 担任 StartCom 的 CEO，而王高华将不再担任沃通 CEO。

via：[8]，[9]

转载自：Solidot 

[1]: https://support.apple.com/en-au/HT204132
[2]: https://www.google.com/transparencyreport/https/ct/?hl=zh-CN
[3]: https://crt.sh/
[4]: https://www.google.com/transparencyreport/https/ct/?hl=zh-CN
[5]: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/mLMajxdtaL0
[6]: http://www.solidot.org/story?sid=49774
[7]: https://www.wosign.com/report/WoSign_Incident_Report_Update_07102016.pdf
[8]: http://www.solidot.org/story?sid=49908
[9]: http://www.solidot.org/story?sid=49868

推荐文章

将文章分享给朋友是对我们最好的赞赏！