如果您使用StartCom (StartSSL) 或WoSign证书, 是时候需要更变了!
Mozilla于2016年10月24日宣布, 从Firefox 51开始, WoSign和StartCom发行的证书将不被信任.
Google也于2016年10月31日宣布, 从2017年1月Chrome 56开始, Chrome将不信任认证机构签发的证书 – WoSign和StartCom, 他们不符合认证机构的期望标准.
两家公司都公开谴责WoSign故意错误发出证书, 以避开浏览器限制和CA要求, 他们还指责WoSign收购StartCom, WoSign和StartCom管理层积极尝试误导浏览器社群关于这两家公司的收购和关系.
最可怕的是WoSign的误发证书. GitHub的安全小组于2016年8月17日通知Google, WoSign未经授权就向GitHub的其中一个域名颁发了证书. Google与Mozilla和安全社区合作, 发现了许多类似的案例.
Mozilla特别发布了13页的报告, 解释了WoSign和StartCom所提出的严重问题. Mozilla发现WoSign曾经把SSL证书日期改到较早时间, 以避开CA在2016年1月1日之前停止发布SHA-1 SSL证书的截止日期.
Google表示, 从Chrome 56开始将在2016年10月21日之后不信任WoSign和StartCom证书. 在此日期之前发行的证书, 如果遵守Chrome政策的Certificate Transparency, 有可能会继续受到信赖.
苹果公司宣布将阻截由WoSign CA Free SSL Certificate G2中继CA颁发的证书.
当我们谈论到SSL证书, 安全性是最重要的. 向一些不遵照国际标准的证书颁发机构(CA)购买SSL证书, 或是使用免费的SSL并不是一个好选择. 不但会把你的网站和客户的资料放到一个危险的位置上, 更可能导致你的网站出现错误吓跑你的客户. 如果你还在使用这些证书, 立即转用一些国际大品牌如Symantec, Geotrust, Thawte, RapidSSL, Comodo的证书吧, 这可让你减少很多烦恼和提高你的网站安全性.
参考:
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
https://support.apple.com/en-us/HT204132