聊聊 SSL 证书这件事
作者:
最后更新于 | 最初发布于 | 分类: SEO新闻
最近对于 StartCom 和 WoSign 的事情在 SSL 证书行业以及浏览器相关的企业中有很多的声音。在很多论坛也有不同的意见出现。首先我想说说今年,就是 2016 年的SSL 证书的市场份额。
首先全球排名前一千万的网站中,有30.7%是没有使用 SSL 证书的,也就是所谓的普通的 http 非加密网站,有44.9%是无效域名,证书过期的有0.9%。
在有效的,并且是有正当的 Certificate Authorities (CA) 所签发的证书,其 CA 的市场份额排名如下。
CA --- 占 SSL CA 市场份额
Comodo --- 40.3%
Symantec Group --- 21.9%
IdenTrust --- 13.2%
GoDaddy Group --- 10.3%
GlobalSign --- 6.8%
DigiCert --- 2.7%
StarCom --- 2.0%
Entrust --- 0.6%
Trustwave --- 0.4%
Unizeto --- 0.4%
Secom Trust --- 0.4%
Verizon --- 0.4%
后面还有很多市场份额 0.1% 的以及不到 0.1的 CA。
在最近一年内特别的 CA 就是 Let's Encrypt 它也有 0.1%的份额。
请特别注意,这里的排名以及份额其统计范畴是根据 Alexa 的全球排名前一千万的网站来做出的,取其3个月平均排名。
其资料来源可以看这里
Wosign 就是沃通的证书,Chrome似乎早已没有沃通的根证书了,使用Wosign的证书,都是靠Chrome内置的 StartCom 根证书来获得信任的。比如这个一号店的证书就是这样。
而目前在 Firefox 内,沃通的根证书还是内置的。有些人为了撤销浏览器中内置的 WoSign 根证书,就一起撤销了StartCom 的证书,因为 StartCom 是签了沃通的证书,所以要撤就必须一起撤销,否则没有效果。
而实际上,最近已经知道沃通并购了StartCom,所以两家可以被认为是一家公司了,据 Mozilla 的报告,两家现在所用的后台也是一样的,就算不是同一个也是克隆的系统。
SSL 证书是基于信任而建立起来的, CA就是信任的基础,CA做事是要有规矩的,有节操的,像沃通这样的问题,其内部稽查机制有很大的问题,而实际的做法也是问题一大堆,从2015年初到最近,而其官方的解释也是漏洞百出,明显是在撒谎。就连两家公司合并这样的事情,也不按照 CA 行业的规矩来做。
最大的几个问题,或者说是不能容忍的问题是这几个:
- 给 SHA-1 证书倒签日期
- 错误签发 GitHub 证书
- 未正确的报告收购 StartCom
现在的情况
Mozilla公布了对沃通CA不当行为的13页调查报告,正式提议将停止信任WoSign和StartCom签发的新证书,最短期限为一年,一年之后如果WoSign和StartCom能满足条件Mozilla可以再次接纳它们。
报告的结论是这样:
- StartCom 使用了 WoSign's 架构系统 (同样的或者是克隆的)
- 此系统签发的证书之 notBefore 2015-12-20中国时间确认是倒签的,这进一步确认了对于澳门证书的怀疑
- StartCom 是由管理层主导,有组织的错签~WoSign Style(沃通模式)
以上最后一点很重要,现在在StartCom看到与沃通相同的操作手法。得出的结论是这两家公司(沃通和StartCom)的有相同的拥有者,组织架构,实际控制,所以Mozilla任何对于WoSign所采取的行动,会同样适用于StartCom,反之亦然。
更多的问题列表如下:
- 倒签SHA-1证书在WoSign是相当普通的操作,而他们一直不承认这样做。
- WoSign 建立了一个系统,申请者可以在证书签发前,加入额外的任意的域名。即使误签情况发生,他们也没有去追究更本原因。
- WoSign 有一个"先签发,后验证"的做法,在隔天验证时发现是错签的,会被撤销。
- WoSing 团队认为错签不值得被调查,简单的撤销证书就可以了。
- WoSign 的CPS 处理手法是倒过来的 - 一般是遵照CPS,如果有必要,先修改它。他们是修改实际操作,然后在被提醒的情况下才更新文档。
- 下面还有五条,就不翻译了。
Mozilla 的建议中有一年的期限,显然他们有倒签日期的做法,Mozilla 认为现在事情已经有过,有众多的人会关注这两家,如果再次被发现有新的倒签日期的证书,无论任何原因,会永久撤销其CA 根证书。
David Yin 的看法是,这件事情还没有结束,就算 Mozilla 的最后结论以及行动出来,也不会结束,毕竟还有很多未知的事情,比如为什麽 WoSign 要遮掩 并购 StartCom 这件事?倒签证书对谁最有利?其背后是否有政府行政力的介入?
就算 WoSign 的反应是:大不了只做中国的生意,但是Mozilla 认为其在中国的用户会降低对 CA 信任的要求,他们应该是同 Mozilla 在中国之外的用户有相同的要求。我也是这样认为,中国用户有权使用符合 CA 标准的证书,那些不符合此条件的 CA 不值得被信任。
相关的文章
- 免费DV SSL证书
- 安装 Ubuntu 24.04 (LTS), Webmin, Nginx, MariaDB, PHP8.3-FPM,Perl-Fastcgi 到 DigitalOcean 的 VPS(4)
- 安装 Ubuntu 22.04 (LTS), Webmin, Nginx, MariaDB, PHP8.1-FPM,Perl-Fastcgi 到 DigitalOcean 的 VPS(4)
- 安装 Ubuntu 20.04, Webmin, Nginx, MariaDB, PHP7.4-FPM,Perl-Fastcgi 到 DigitalOcean 的 VPS(4)
- CloudFlare 的 SSL 用法
- SSL 证书之选择
- 安装 Ubuntu 18.04, Webmin, Nginx, MariaDB, PHP7.2-FPM,Perl-Fastcgi 到 Linode 的 VPS(4)
- 你的网站再不用 https 就晚了
评论