中国证书颁发机构签发的两个根证书预计将被批准加入 Mozilla 根证书库

中国证书颁发机构签发的两个根证书预计将被批准加入Mozilla根证书库BJCA(BeijingCertificateAuthorityCo.,Ltd.-北京数字认证股份有限公司)的两个根证书已通过Mozilla的核查和公共讨论期。如果在last-call期间没有异议，两个根证书将于2/21被批准加入Mozilla根证书库，成为继CFCA、GDCA、SHCA、iTrusChina（天威诚信）后第五个Mozilla证书库中的大陆CA。在此之前，它们目前只被360根证书库信任。相关的两个CA如下：-BJCAGlobalRootCA1-BJCAGlobalRootCA2Mozilla审议期间，有审核者提到BJCA的「一证通」(BeijingOnePass)软件被RecordedFuture的分析指出作出间谍软件行为（例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等）。BJCA回应称此软件需要安装其根证书以支持其USB密钥（U盾），并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控，称这些行为涉及的程序并非「一证通」软件的一部分。在之后邮件列表的讨论中，BJCA还提到：-BJCA有两套分离的系统分别用来处理公共证书事务及国内证书签发事项，两套系统分别符合国际标准和国内标准。-在收到RecordedFuture的分析报告后，BJCA根据网信办的条例对软件进行了评估，并提交了评估报告。由于此报告涉及机密内容，且报告所涉的CA证书和此次向Mozilla申请加入证书库的证书无关，BJCA无法公开此报告的全文。——/

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let'sEncrypt宣布今年已签发30亿份域名证书负责运营Let'sEncrypt的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了30亿份证书。Let'sEncrypt于2015年9月开始提供免费域名证书签发服务，签发的首个网站是helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用HTTPS（SSL/TLS）和加密通信所需的X.509数字证书。Let'sEncrypt自2018年8月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle和黑莓的证书）直接信任。这个免费和自动化的CA允许任何域名所有者以零成本获得可信的证书。现在，该CA说它每天签发数百万份。来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

Let'sEncrypt旧的根证书即将到期Android7.1.1及更早版本的用户将受影响今天Cloudflare发布关于Let'sEncrypt根证书变更的提示，这个提示其实Let'sEncrypt早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。问题根源：Let'sEncrypt最初使用IdenTrust交叉签名的根证书，这个根证书自2000年以来就是有效的，因此广泛兼容各类老旧设备，包括Android7.1.1及此前的版本。后来Let'sEncrypt推出了自己的根证书ISRGRootX1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。而IdenTrust交叉签名证书将在2024年9月30日到期，因此后续开发者也无法再申请签发基于IdenTrust的Let'sEncrypt证书。Cloudflare也停止签发旧证书：Cloudflare今天发布的公告说的是从今年5月15日开始，该平台不再签发基于IdenTrust的Let'sEncrypt证书，也就是后续签发的新证书全部都是ISRGRootX1的。这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。根据Let'sEncrypt的统计，目前超过93.9%的Android设备已经信任ISRGRootX1，但剩余个位数的老旧Android版本也就是7.1.1之前的无法信任。如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持Android7.1.1及之前的版本了。注：Android5.0~7.1用户可以安装Firefox浏览器，Firefox浏览器内置了ISRGROOTCA证书所以可以继续访问。...PC版：https://www.cnbeta.com.tw/articles/soft/1423804.htm手机版：https://m.cnbeta.com.tw/view/1423804.htm

Mozilla正在考虑如何对屡次违规的 ＃沃通CA 的采取惩罚措施，它在网站上列出了已确认或有嫌疑的与沃通CA相关的问题，这些问

Mozilla正在考虑如何对屡次违规的＃沃通CA的采取惩罚措施，它在网站上列出了已确认或有嫌疑的与沃通CA相关的问题，这些问题不限于之前在安全邮件列表上列出的3个问题。它们突出了沃通CA在证书管理上的混乱。举例来说，沃通CA在2015年4月9日到4月14日之间签发了392个相同序列号的证书；2015年12月，沃通CA使用中国制定SM2算法签发了两个证书，违反了CA/BrowserForumBaselineRequirements的要求，沃通回应称这些证书是测试用的；秘密收购StartComCA违反了Mozilla的CA政策。沃通CA已经发布了一份英文声明（PDF）回应了Mozilla提出的部分问题，称是一个未知的系统漏洞错误签发了github.com的证书。https://wiki.mozilla.org/CA:WoSign_Issues

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let'sEncrypt签发10份新中级证书包括5份2048RSA证书和5份384ECDSA证书本次签发的证书包含5份2048位的RSA证书，根证书为ISRGRootX1证书，这些新证书编号从R10~R14，是R3和R4中级证书的替代品。5份P-384位ECDSA证书，新证书编号从E5~E9，但根证书方面有所不同，这些证书都有两个根证书版本，一个是ISRGRootX2，另一个是通过ISRGRootX1颁发或交叉签名。此次更新的证书只要包含两个特点，即定期轮换和缩小体积，其中定期轮换目的主要是保持互联网的敏捷性和安全性，缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发，这也是防止中间密钥固定帮助WebKPI保持敏捷的发展。缩小体积方面，证书体积的大小影响了TLS连接时的性能(时间)，ISRGRootX2目前已经被大多数平台所信任，因此Let'sEncrypt可以提供相同选择的改进版本，即相较于此前的ECDSA链大小减少了1/3。如果开发者愿意选择新的ECDSA证书的话(ECC证书)，这可以进一步缩短TLS握手时的往返，降低延迟、提升体验。此外本次更新的证书还更改了主题密钥ID字段的计算方式，从此前的SHA-1更改为截断的SHA-256，这也是删除SHA-1算法的一种方式；从证书扩展策略中删除CPSOID，这可以节省一些字节，虽然只有几十个字节，但可以在每天数以亿计的TLS握手中节省很多带宽。博客地址：https://letsencrypt.org/2024/03/19/new-intermediate-certificates.html所有新证书：https://letsencrypt.org/certificates/...PC版：https://www.cnbeta.com.tw/articles/soft/1424323.htm手机版：https://m.cnbeta.com.tw/view/1424323.htm

＃安全 ［沃通被指秘密收购了StartCom，CEO发出威胁］

＃安全［沃通被指秘密收购了StartCom，CEO发出威胁］在Mozilla安全邮件列表有关沃通CA事件的讨论中，StartComCA和沃通CA被发现关系密切，两者之间有交叉签名，共享了基础设施，如果浏览器不信任沃通CA，那么只要StartComCA仍然被信任，任何沃通CA签发的证书仍然被视为是有效的。现在，一位自称StartCom前雇员的人士披露，沃通在2015年11月秘密收购了StartCom，根据以色列企业登记信息，StartCom现在的所有人是中国籍的GaohuaWang——即沃通CEO王高华：https://www.facebook.com/iyouport/posts/1251380401559768