Google, Firefox和Apple在2017年不信任WoSign和StartCom證書

如果您使用StartCom (StartSSL) 或WoSign證書, 是時候需要更變了!

Mozilla於2016年10月24日宣布, 從Firefox 51開始, WoSign和StartCom發行的證書將不被信任.

Google也於2016年10月31日宣布, 從2017年1月Chrome 56開始, Chrome將不信任認證機構簽發的證書 – WoSign和StartCom, 他們不符合認證機構的期望標準.

兩家公司都公開譴責WoSign故意錯誤發出證書, 以避開瀏覽器限制和CA要求, 他們還指責WoSign收購StartCom, WoSign和StartCom管理層積極嘗試誤導瀏覽器社群關於這兩家公司的收購和關係.

最可怕的是WoSign的誤發證書. GitHub的安全小組於2016年8月17日通知Google, WoSign未經授權就向GitHub的其中一個域名頒發了證書. Google與Mozilla和安全社區合作, 發現了許多類似的案例.

Mozilla特別發布了13頁的報告, 解釋了WoSign和StartCom所提出的嚴重問題. Mozilla發現WoSign曾經把SSL證書日期改到較早時間, 以避開CA在2016年1月1日之前停止發布SHA-1 SSL證書的截止日期.

Google表示, 從Chrome 56開始將在2016年10月21日之後不信任WoSign和StartCom證書. 在此日期之前發行的證書, 如果遵守Chrome政策的Certificate Transparency, 有可能會繼續受到信賴.

蘋果公司宣布將阻截由WoSign CA Free SSL Certificate G2中繼CA頒發的證書.

當我們談論到SSL證書, 安全性是最重要的. 向一些不遵照國際標準的證書頒發機構(CA)購買SSL證書, 或是使用免費的SSL並不是一個好選擇. 不但會把你的網站和客戶的資料放到一個危險的位置上, 更可能導致你的網站出現錯誤嚇跑你的客戶. 如果你還在使用這些證書, 立即轉用一些國際大品牌如Symantec, Geotrust, Thawte, RapidSSL, Comodo的證書吧, 這可讓你減少很多煩惱和提高你的網站安全性.

參考:
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
https://support.apple.com/en-us/HT204132