在Mozilla安全邮件列表上,开发者 Gervase Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们
在Mozilla安全邮件列表上,开发者GervaseMarkham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑是否对沃通CA采取行动。Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;2015年6月,免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名(BaseDomain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了github.com、github.io和www.github.io的证书;2016年7月,与沃通CA有关联的StartComCA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/k9PBmyLCi8I
在Telegram中查看相关推荐
🔍 发送关键词来寻找群组、频道或视频。
启动SOSO机器人