Chrome 将证书颁发机构 Entrust 移出信任列表

Chrome将证书颁发机构Entrust移出信任列表谷歌通过博客公告，从2024年11月1日发布的Chrome127版本开始，默认情况下不会信任验证Entrust或AffirmTrustroots发布的TLS服务器验证证书。谷歌称，过去几年中，公开披露的事件报告突显了Entrust的一系列令人担忧的行为，这些行为未能达到上述期望，并且削弱了人们对其作为公众信任的CA所有者的能力、可靠性和诚信的信心。此前，Mozilla在5月份发布了一份报告，其中汇总了今年3月至5月期间Entrust证书。以上变化将在除苹果公司移动端以外的所有Chrome和Chromium发行版上生效，2024年11月1日之后签发的Entrust证书将被视为无效，并被浏览器默认阻止连接到对应的服务器。——

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let'sEncrypt宣布今年已签发30亿份域名证书负责运营Let'sEncrypt的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了30亿份证书。Let'sEncrypt于2015年9月开始提供免费域名证书签发服务，签发的首个网站是helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用HTTPS（SSL/TLS）和加密通信所需的X.509数字证书。Let'sEncrypt自2018年8月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle和黑莓的证书）直接信任。这个免费和自动化的CA允许任何域名所有者以零成本获得可信的证书。现在，该CA说它每天签发数百万份。来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

Mozilla正在考虑如何对屡次违规的 ＃沃通CA 的采取惩罚措施，它在网站上列出了已确认或有嫌疑的与沃通CA相关的问题，这些问

Mozilla正在考虑如何对屡次违规的＃沃通CA的采取惩罚措施，它在网站上列出了已确认或有嫌疑的与沃通CA相关的问题，这些问题不限于之前在安全邮件列表上列出的3个问题。它们突出了沃通CA在证书管理上的混乱。举例来说，沃通CA在2015年4月9日到4月14日之间签发了392个相同序列号的证书；2015年12月，沃通CA使用中国制定SM2算法签发了两个证书，违反了CA/BrowserForumBaselineRequirements的要求，沃通回应称这些证书是测试用的；秘密收购StartComCA违反了Mozilla的CA政策。沃通CA已经发布了一份英文声明（PDF）回应了Mozilla提出的部分问题，称是一个未知的系统漏洞错误签发了github.com的证书。https://wiki.mozilla.org/CA:WoSign_Issues

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let'sEncrypt签发10份新中级证书包括5份2048RSA证书和5份384ECDSA证书本次签发的证书包含5份2048位的RSA证书，根证书为ISRGRootX1证书，这些新证书编号从R10~R14，是R3和R4中级证书的替代品。5份P-384位ECDSA证书，新证书编号从E5~E9，但根证书方面有所不同，这些证书都有两个根证书版本，一个是ISRGRootX2，另一个是通过ISRGRootX1颁发或交叉签名。此次更新的证书只要包含两个特点，即定期轮换和缩小体积，其中定期轮换目的主要是保持互联网的敏捷性和安全性，缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发，这也是防止中间密钥固定帮助WebKPI保持敏捷的发展。缩小体积方面，证书体积的大小影响了TLS连接时的性能(时间)，ISRGRootX2目前已经被大多数平台所信任，因此Let'sEncrypt可以提供相同选择的改进版本，即相较于此前的ECDSA链大小减少了1/3。如果开发者愿意选择新的ECDSA证书的话(ECC证书)，这可以进一步缩短TLS握手时的往返，降低延迟、提升体验。此外本次更新的证书还更改了主题密钥ID字段的计算方式，从此前的SHA-1更改为截断的SHA-256，这也是删除SHA-1算法的一种方式；从证书扩展策略中删除CPSOID，这可以节省一些字节，虽然只有几十个字节，但可以在每天数以亿计的TLS握手中节省很多带宽。博客地址：https://letsencrypt.org/2024/03/19/new-intermediate-certificates.html所有新证书：https://letsencrypt.org/certificates/...PC版：https://www.cnbeta.com.tw/articles/soft/1424323.htm手机版：https://m.cnbeta.com.tw/view/1424323.htm

微软已正式废止 WoSign / StartCom 品牌根证书

微软已正式废止WoSign/StartCom品牌根证书http://www.cnbeta.com/articles/832647.htm「距微软宣布“在Windows10中移除沃通和StartCom两大证书签发机构”已过去18个月。1、2019年3月前已用该根证书签发的终端用户代码签名证书签名且加签时间戳的，数字签名仍有效；2、沃通旗下经由Certum/DigiCert等CA机构签发的WoSign、WoTrus证书不受本次更新影响。」

调查显示一家为主流浏览器颁发根证书的机构与美国情报机关有密切联系

调查显示一家为主流浏览器颁发根证书的机构与美国情报机关有密切联系安全研究人员、文件和采访显示，一家受主要网络浏览器和其他科技公司信任的离岸公司为网站的合法性提供担保，与美国情报机构和执法部门的承包商有联系。Google的Chrome、Apple的Safari、非营利组织Firefox和其他公司允许TrustCorSystems公司充当所谓的根证书颁发机构，这是互联网基础设施中的一个强大功能，可以保证网站不是假冒的，并无缝引导用户访问它们。该公司在巴拿马的注册记录显示，其官员、代理人和合作伙伴名单与今年被认定为位于亚利桑那州的PacketForensics附属公司的间谍软件制造商相同，公开合同记录和公司文件显示，该公司已向美国出售通信拦截服务。其中一个TrustCor合作伙伴与RaymondSaulino管理的控股公司同名，后者在2010年连线文章中被引述为PacketForensics的发言人。Saulino还于2021年作为另一家公司GlobalResourceSystems的联系人浮出水面，该公司短暂激活并运行了数十年前分配给五角大楼的1亿多个先前处于休眠状态的IP地址，引发了科技界的猜测。几个月后，五角大楼收回了数字领土，目前尚不清楚短暂的转移是关于什么的，但研究人员表示，这些IP地址的激活本可以让军方获得大量互联网流量，而不会透露政府正在接收它.五角大楼没有回应对TrustCor的置评请求。TrustCor也没有回应置评请求。——