聊聊 SSL 证书这件事

  • Posted on | Updated on
  • by
  • in

最近对于 StartCom 和 WoSign 的事情在 SSL 证书行业以及浏览器相关的企业中有很多的声音。在很多论坛也有不同的意见出现。首先我想说说今年,就是 2016 年的SSL 证书的市场份额。

首先全球排名前一千万的网站中,有30.7%是没有使用 SSL 证书的,也就是所谓的普通的 http 非加密网站,有44.9%是无效域名,证书过期的有0.9%。
在有效的,并且是有正当的 Certificate Authorities (CA) 所签发的证书,其 CA 的市场份额排名如下。
CA --- 占 SSL CA 市场份额
Comodo --- 40.3%
Symantec Group --- 21.9%
IdenTrust --- 13.2%
GoDaddy Group --- 10.3%
GlobalSign --- 6.8%
DigiCert --- 2.7%
StarCom --- 2.0%
Entrust --- 0.6%
Trustwave --- 0.4%
Unizeto --- 0.4%
Secom Trust --- 0.4%
Verizon --- 0.4%
后面还有很多市场份额 0.1% 的以及不到 0.1的 CA。

在最近一年内特别的 CA 就是 Let's Encrypt 它也有 0.1%的份额。
请特别注意,这里的排名以及份额其统计范畴是根据 Alexa 的全球排名前一千万的网站来做出的,取其3个月平均排名。
其资料来源可以看这里

Wosign 就是沃通的证书,Chrome似乎早已没有沃通的根证书了,使用Wosign的证书,都是靠Chrome内置的 StartCom 根证书来获得信任的。比如这个一号店的证书就是这样。

wosing-yhd.JPG

而目前在 Firefox 内,沃通的根证书还是内置的。有些人为了撤销浏览器中内置的 WoSign 根证书,就一起撤销了StartCom 的证书,因为 StartCom 是签了沃通的证书,所以要撤就必须一起撤销,否则没有效果。

而实际上,最近已经知道沃通并购了StartCom,所以两家可以被认为是一家公司了,据 Mozilla 的报告,两家现在所用的后台也是一样的,就算不是同一个也是克隆的系统。

SSL 证书是基于信任而建立起来的, CA就是信任的基础,CA做事是要有规矩的,有节操的,像沃通这样的问题,其内部稽查机制有很大的问题,而实际的做法也是问题一大堆,从2015年初到最近,而其官方的解释也是漏洞百出,明显是在撒谎。就连两家公司合并这样的事情,也不按照 CA 行业的规矩来做。

最大的几个问题,或者说是不能容忍的问题是这几个:

  • 给 SHA-1 证书倒签日期
  • 错误签发 GitHub 证书
  • 未正确的报告收购 StartCom

现在的情况

Mozilla公布了对沃通CA不当行为的13页调查报告,正式提议将停止信任WoSign和StartCom签发的新证书,最短期限为一年,一年之后如果WoSign和StartCom能满足条件Mozilla可以再次接纳它们。

报告的结论是这样:

  • StartCom 使用了 WoSign's 架构系统 (同样的或者是克隆的)
  • 此系统签发的证书之 notBefore 2015-12-20中国时间确认是倒签的,这进一步确认了对于澳门证书的怀疑
  • StartCom 是由管理层主导,有组织的错签~WoSign Style(沃通模式)

以上最后一点很重要,现在在StartCom看到与沃通相同的操作手法。得出的结论是这两家公司(沃通和StartCom)的有相同的拥有者,组织架构,实际控制,所以Mozilla任何对于WoSign所采取的行动,会同样适用于StartCom,反之亦然。

更多的问题列表如下:

  • 倒签SHA-1证书在WoSign是相当普通的操作,而他们一直不承认这样做。
  • WoSign 建立了一个系统,申请者可以在证书签发前,加入额外的任意的域名。即使误签情况发生,他们也没有去追究更本原因。
  • WoSign 有一个"先签发,后验证"的做法,在隔天验证时发现是错签的,会被撤销。
  • WoSing 团队认为错签不值得被调查,简单的撤销证书就可以了。
  • WoSign 的CPS 处理手法是倒过来的 - 一般是遵照CPS,如果有必要,先修改它。他们是修改实际操作,然后在被提醒的情况下才更新文档。
  • 下面还有五条,就不翻译了。

Mozilla 的建议中有一年的期限,显然他们有倒签日期的做法,Mozilla 认为现在事情已经有过,有众多的人会关注这两家,如果再次被发现有新的倒签日期的证书,无论任何原因,会永久撤销其CA 根证书。

David Yin 的看法是,这件事情还没有结束,就算 Mozilla 的最后结论以及行动出来,也不会结束,毕竟还有很多未知的事情,比如为什麽 WoSign 要遮掩 并购 StartCom 这件事?倒签证书对谁最有利?其背后是否有政府行政力的介入?

就算 WoSign 的反应是:大不了只做中国的生意,但是Mozilla 认为其在中国的用户会降低对 CA 信任的要求,他们应该是同 Mozilla 在中国之外的用户有相同的要求。我也是这样认为,中国用户有权使用符合 CA 标准的证书,那些不符合此条件的 CA 不值得被信任。


作者: David Yin
原载: SEO 网站优化推广
版权所有。转载时必须以链接形式注明作者和及本声明。