数日前浏览V2ex时,见有人转载这样一条新闻,大意是:StartCom宣布停止其数字证书业务。
回想当年,没有Let's Encrypt
这个免费且全自动签发的CA之前,StartCom曾为万千个人站长提供1年免费的SSL证书,令访客可以更安全地连接到网站。
然而,臭名昭著的沃通,或者其背后的金主奇虎360公司,作为被StartCom签名的Intermediate CA,先是逆向收购了StartCom,其后又做出一系列极低水平、极不负责任的行为,包括但不限于:
- 利用倒填生效日期(
ValidAfter
)规避浏览器对新签发的SHA-1证书的限制(提示"不安全"等) - 申请二级域名证书(如
demo.github.io
)可同时获得根域名(如github.io
)证书
这直接导致沃通的免费SSL CA被吊销;与之同时,StartCom的根证书尽管没被所有操作系统/浏览器吊销/设为"不信任",但其信誉,作为CA之根本的信誉却严重受损——就像2011年伊朗的由国家支持的骇客侵入DigiNotar的PKI系统,窃取CA证书私钥,签名假证书用以中间人攻击;这件事没有直接导致DigiNotar破产,但因用户不信任其网络安全水平,加之其多个(私钥泄露的)根证书被众多操作系统/浏览器吊销,这家CA在不足半年后破产。
如今,沃通似乎毫发无伤,近期还传出其要"改名"——将"WoSign"改为"WoTrus"——有网友将其新名称调侃为"WoRevoke"(Revoke意为吊销)……
而曾经服务于万千网站的StartCom,已经成为历史……