简讯: DigiCert 旗下的数字证书颁发机构 Thawte 的一份根证书被吊销，具体吊销原因目前未知

简讯: DigiCert 旗下的数字证书颁发机构 Thawte 的一份根证书被吊销，具体吊销原因目前未知 截止到目前 DigiCert 和 Thawte 都没有发布公告。由于这是根证书，不少软件使用该证书进行的代码签名，证书被吊销后导致软件无法正常打开。 证书thawte Primary Root CA 开始时间： Nov 17 00:00:00 2006 GMT 结束时间：Jul 16 23:59:59 2036 GMT SHA-1：91C6D6EE3E8AC86384E548C299295C756C817B81 SHA-256：8D722F81A9C113C0791DF136A2966DB26C950A971DB46B4199F4EA54B78BFB9F 消息来源:

Chrome 将证书颁发机构 Entrust 移出信任列表

Chrome 将证书颁发机构 Entrust 移出信任列表 谷歌通过博客公告，从 2024 年 11 月 1 日发布的 Chrome 127 版本开始，默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。谷歌称，过去几年中，公开披露的事件报告突显了 Entrust 的一系列令人担忧的行为，这些行为未能达到上述期望，并且削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和诚信的信心。此前，Mozilla 在 5 月份发布了一份报告，其中汇总了今年 3 月至 5 月期间 Entrust 证书。 以上变化将在除苹果公司移动端以外的所有 Chrome 和 Chromium 发行版上生效，2024 年 11 月 1 日之后签发的 Entrust 证书将被视为无效，并被浏览器默认阻止连接到对应的服务器。

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let's Encrypt 宣布今年已签发 30 亿份域名证书 负责运营 Let's Encrypt 的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了 30 亿份证书。 Let's Encrypt 于 2015 年 9 月开始提供免费域名证书签发服务，签发的首个网站是 helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用 HTTPS（SSL / TLS）和加密通信所需的 X.509 数字证书。 Let's Encrypt 自 2018 年 8 月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle 和黑莓的证书）直接信任。这个免费和自动化的 CA 允许任何域名所有者以零成本获得可信的证书。现在，该 CA 说它每天签发数百万份。 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

Microsoft 撤销 Verisign 3 级公共主要证书颁发机构 – G5 根证书

Microsoft 撤销 Verisign 3 级公共主要证书颁发机构 – G5 根证书 依据 Airlock Digital 报道显示该问题是由 Windows根据 Microsoft 的“弃用定义”应用了“”标志，同时这也解释了该吊销为什么这没有显示在任何公开可用的列表中。同时根据 DigiCert 给 Airlock Digital 的支持回应显示该问题是由于这些旧根证书应该在 2019 年至 2021 年间就该被不信任，对于 VeriSign 3 级公共主要证书颁发机构 – G5 本应在 2019 年 5 月 21 日受到 Microsoft 的不信任。 也就是说该问题是 Microsoft Windows 未及时刷新旧证书状态导致，加上也未对此做出任何公告才导致开发者一头雾水，同时 DigiCert 也对证书签发管理过于混乱，这大概率也是和赛门铁克交业务接时留下的问题。 参考来源:

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书 本次签发的证书包含 5 份 2048 位的 RSA 证书，根证书为 ISRG Root X1 证书，这些新证书编号从 R10~R14，是 R3 和 R4 中级证书的替代品。5 份 P-384 位 ECDSA 证书，新证书编号从 E5~E9，但根证书方面有所不同，这些证书都有两个根证书版本，一个是 ISRG Root X2，另一个是通过 ISRG Root X1 颁发或交叉签名。此次更新的证书只要包含两个特点，即定期轮换和缩小体积，其中定期轮换目的主要是保持互联网的敏捷性和安全性，缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发，这也是防止中间密钥固定帮助 WebKPI 保持敏捷的发展。缩小体积方面，证书体积的大小影响了 TLS 连接时的性能 (时间)，ISRG Root X2 目前已经被大多数平台所信任，因此 Let's Encrypt 可以提供相同选择的改进版本，即相较于此前的 ECDSA 链大小减少了 1/3。如果开发者愿意选择新的 ECDSA 证书的话 (ECC 证书)，这可以进一步缩短 TLS 握手时的往返，降低延迟、提升体验。此外本次更新的证书还更改了主题密钥 ID 字段的计算方式，从此前的 SHA-1 更改为截断的 SHA-256，这也是删除 SHA-1 算法的一种方式；从证书扩展策略中删除 CPS OID，这可以节省一些字节，虽然只有几十个字节，但可以在每天数以亿计的 TLS 握手中节省很多带宽。博客地址： ... PC版： 手机版：

调查显示一家为主流浏览器颁发根证书的机构与美国情报机关有密切联系

调查显示一家为主流浏览器颁发根证书的机构与美国情报机关有密切联系 安全研究人员、文件和采访显示，一家受主要网络浏览器和其他科技公司信任的离岸公司为网站的合法性提供担保，与美国情报机构和执法部门的承包商有联系。 Google 的 Chrome、Apple 的 Safari、非营利组织 Firefox 和其他公司允许 TrustCor Systems 公司充当所谓的根证书颁发机构，这是互联网基础设施中的一个强大功能，可以保证网站不是假冒的，并无缝引导用户访问它们。 该公司在巴拿马的注册记录显示，其官员、代理人和合作伙伴名单与今年被认定为位于亚利桑那州的 Packet Forensics 附属公司的间谍软件制造商相同，公开合同记录和公司文件显示，该公司已向美国出售通信拦截服务。 其中一个 TrustCor 合作伙伴与 Raymond Saulino 管理的控股公司同名，后者在 2010 年连线文章中被引述为 Packet Forensics 的发言人。 Saulino 还于 2021 年作为另一家公司 Global Resource Systems 的联系人浮出水面，该公司短暂激活并运行了数十年前分配给五角大楼的 1 亿多个先前处于休眠状态的 IP 地址，引发了科技界的猜测。 几个月后，五角大楼收回了数字领土，目前尚不清楚短暂的转移是关于什么的，但研究人员表示，这些 IP 地址的激活本可以让军方获得大量互联网流量，而不会透露政府正在接收它 . 五角大楼没有回应对 TrustCor 的置评请求。TrustCor 也没有回应置评请求。