导语:已归属360公司的数字证书颁发机构StartCom已经正式宣布,将于2017年年底停止签发新证书,并于2020年彻底终止证书签发业务。
背景介绍
国内比较知名的认证商有奇虎360旗下的沃通和StartCom,但是就在前段时间,苹果、谷歌以及几大浏览器都宣布封杀沃通和StartCom证书,事情是这样的:
2016年下半年,奇虎360通过控股公司(WoSign沃通)完全并购了StartCom并将其部分PKI设施迁移到了奇虎服务器中。由于牵涉安全问题,360的秘密收购在行业里引起轩然大波。
与此同时,沃通公司还被发现故意签发违规的数字证书,这使得Mozilla于2016年9月份宣布不再信赖这两家凭证机构,并在Firefox 58(预计2018年1月发布)中禁止两个公司的证书。随后,苹果、谷歌以及微软等公司也表示跟进。
其中,谷歌在今年1月发布的Chrome 56中,封锁了WoSign与StartCom于去年10月21日之后所发行的凭证,并持续缩小所信赖的WoSign与StartCom凭证名单。随货谷歌又宣布,在今年9月中旬发布的Chrome 61浏览器中全面封锁WoSign及StartCom两家凭证机构所发行的凭证。
苹果公司则在2016年10月就已经立即禁止了WoSign和StartCom证书;微软公司也表示于2017年9月后停止支持这两家公司的证书。
此后,沃通以及StartCom的证书均被主流操作系统和浏览器屏蔽,可以说最终这项收购案已完全变得得不偿失。
失去信任,宣布退出
如今,已归属360公司的数字证书颁发机构StartCom已经正式宣布,将于2017年年底停止签发新证书,并于2020年彻底终止证书签发业务。
针对此次“退出”,StartCom在一份声明中表示:
“大约一年前,大多数浏览器制造商决定不再信任StartCom,并将StartCom根证书从其根存储中删除,并且不再接受由StartCom签发的新证书。尽管StartCom在这段时间内做出了很多努力,但是,直到现在仍然没有任何迹象表明,这些浏览器制造商愿意重新接受并信任StartCom CA证书,因此,StartCom的所有者决定终止证书签发业务。”
根据该公司的说法,2017年年底或2018年年初(2018年1月1日)将停止签发新的证书,自2018年1月1日起,公司还将继续维持CRL(证书撤销清单)以及OCSP(在线证书状态协议)服务两年,到2020年将彻底撤销所有的证书。
那些年不受信任的CA认证机构
事实上,StartCom和沃通并不是唯一的证书不受信任的CA认证机构。第一个遭受这种命运的是来自荷兰的CA认证服务机构DigiNotar,该公司由于遭遇黑客攻击,并以Google的名义颁发了SSL证书,最终在2011年收到谷歌禁令后选择关闭运营。
同样的,在今年3月,谷歌和firefox调查发现Symantec未经授权错误签发大量SSL证书的严重问题,其TLS证书也被列入了黑名单。对此,谷歌公司已经宣布,从Chrome 66版本开始Chrome将不信任2016年6月1日之前签发的所有赛门铁克SSL证书。谷歌Chrome 70发布时(预计2018年10月),Chrome将不信任2017年12月1日之前签发的所有赛门铁克SSL证书。
虽然该公司并没有宣告“死亡”,但是它决定以9.5亿美元的现金和30%的股份将其证书业务出售给DigiCert,让DigiCert接管客户并修复其SSL发行基础设施。