在Mozilla安全邮件列表上，开发者 Gervase Markham发帖称，多起与沃通CA（WoSign）相关的事故引起了他们

在Mozilla安全邮件列表上，开发者GervaseMarkham发帖称，多起与沃通CA（WoSign）相关的事故引起了他们的注意，Mozilla正考虑是否对沃通CA采取行动。Markham谈论了三起事故：2015年4月23日左右，沃通CA允许免费证书申请者选择任意端口验证，违反了限制端口和路径使用的规定；2015年6月，免费证书申请者发现如果他们能证明控制了子域名那么就能获得基础域名（BaseDomain）的证书，如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了github.com、github.io和www.github.io的证书；2016年7月，与沃通CA有关联的StartComCA被发现允许证书倒填日期，倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的SSL证书发行商之一，它声称中国市场每3张SSL证书中就有1张由沃通CA签发，如果吊销沃通CA证书，可能将会影响很多中国网站。https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/k9PBmyLCi8I

＃安全 ［沃通被指秘密收购了StartCom，CEO发出威胁］

＃安全［沃通被指秘密收购了StartCom，CEO发出威胁］在Mozilla安全邮件列表有关沃通CA事件的讨论中，StartComCA和沃通CA被发现关系密切，两者之间有交叉签名，共享了基础设施，如果浏览器不信任沃通CA，那么只要StartComCA仍然被信任，任何沃通CA签发的证书仍然被视为是有效的。现在，一位自称StartCom前雇员的人士披露，沃通在2015年11月秘密收购了StartCom，根据以色列企业登记信息，StartCom现在的所有人是中国籍的GaohuaWang——即沃通CEO王高华：https://www.facebook.com/iyouport/posts/1251380401559768

中国证书颁发机构签发的两个根证书预计将被批准加入 Mozilla 根证书库

中国证书颁发机构签发的两个根证书预计将被批准加入Mozilla根证书库BJCA(BeijingCertificateAuthorityCo.,Ltd.-北京数字认证股份有限公司)的两个根证书已通过Mozilla的核查和公共讨论期。如果在last-call期间没有异议，两个根证书将于2/21被批准加入Mozilla根证书库，成为继CFCA、GDCA、SHCA、iTrusChina（天威诚信）后第五个Mozilla证书库中的大陆CA。在此之前，它们目前只被360根证书库信任。相关的两个CA如下：-BJCAGlobalRootCA1-BJCAGlobalRootCA2Mozilla审议期间，有审核者提到BJCA的「一证通」(BeijingOnePass)软件被RecordedFuture的分析指出作出间谍软件行为（例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等）。BJCA回应称此软件需要安装其根证书以支持其USB密钥（U盾），并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控，称这些行为涉及的程序并非「一证通」软件的一部分。在之后邮件列表的讨论中，BJCA还提到：-BJCA有两套分离的系统分别用来处理公共证书事务及国内证书签发事项，两套系统分别符合国际标准和国内标准。-在收到RecordedFuture的分析报告后，BJCA根据网信办的条例对软件进行了评估，并提交了评估报告。由于此报告涉及机密内容，且报告所涉的CA证书和此次向Mozilla申请加入证书库的证书无关，BJCA无法公开此报告的全文。——/

【Firefox 63 将不信任赛门铁克证书】

【Firefox63将不信任赛门铁克证书】由于赛门铁克CA过去几年被发现签发了大量有问题的证书，包括2015年在Google不知情下为Google域名颁发了有效期一天的预签证书，Google去年宣布从2018年10月23日发布的Chrome70将停止信任赛门铁克的旧证书。Chrome的测试版本ChromeCanary已经停止信任赛门铁克证书。现在，Mozilla宣布它的测试版本FirefoxNightly63将停止信任赛门铁克签发的证书，用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla建议网站所有者尽可能快的替换旧证书。

乌克兰政府亦提醒网民提防伪冒网站，捐款时应只使用官方网站上列出的连结

2101#俄罗斯#乌克兰#俄乌战争#乌克兰国家银行#捐款#国际要闻乌克兰国家官方网站列出更齐全的捐款方式，包括加密货币及透过乌克兰网上虚拟银行Monobank捐款。同时，乌克兰政府亦提醒网民提防伪冒网站，捐款时应只使用官方网站上列出的连结。乌克兰国家官方网站：https://war.ukraine.ua/donate/乌克兰数码转型部加密货币捐款专页：https://donate.thedigital.gov.ua/Monobank捐款网址：https://uahelp.monobank.ua/#乌克兰国家官方网站

＃网络安全 ［沃通用 FUD 恐吓 Let's Encrypt 用户］

＃网络安全［沃通用FUD恐吓Let'sEncrypt用户］对于免费SSL证书Let'sEncryptCA的用户，中国的沃通CA正利用恐吓的方法诱使这些用户切换到它的证书。Let'sEncrypt的证书有效期为90天，之后会自动更新。根据沃通发送给用户的邮件，它声称使用国外CA会面临证书吊销风险（吊销中国重要单位的信息将导致系统全面瘫痪，它对此没有做出进一步的解释）、信息安全风险（国外CA掌握了用户的重要信息）、服务响应问题（海底光缆影响延迟）等等。这些内容并不新鲜，沃通CEO王高华本人就屡次抛出类似言论。沃通自称是一家私人公司，但根据2014年的一篇报道，国内的CA多数都具有国资/政府背景。王高华早年担任过深圳市信息网络中心总工程师。https://pbs.twimg.com/media/CrXf7w3W8AA2zd7.jpg:large