mozilla 公布了对沃通ca不当行为的13页调查报告,正式提议将停止信任 wosign 和 startcom 签发的新证书,最短期限为一年,一年之后如果wosign 和startcom能满足条件mozilla可以再次接纳它们。
调查报告称,沃通ca存在的部分问题不严重或不是它的过错,但还有部分问题极其严重,从信任角度看最严重的问题是故意倒填证书日期绕过浏览器对sha-1证书的限制。由于sha-1签名证书不再安全,主要浏览器开发商要求所有ca在2016年1月1日之后停止签发sha-1证书,然而沃通ca在2016年1月1日之后仍然签发了sha-1证书,通过故意倒填日期,将这些证书伪装成是在2016年前签发的。另一个问题是wosign收购startcom,即使有充足的证据证明wosign ca 已经100%收购 startcom ca,公司ceo王高华仍然拒绝承认,直到最后wosign的母公司奇虎360现身才予以承认,但王高华又坚称startcom独立运营,其原始系统没有发生改变,然而有充分的技术证据证明startcom在被收购一个半月后,它就开始使用wosign的基础设施签发证书。startcom的网站startssl.com在2015年12月18日关闭升级系统,到12月22日重新开放时它就切换到了wosign的系统。
试用申请