聊聊 SSL 证书这件事

最近对于 StartCom 和 WoSign 的事情在 SSL 证书行业以及浏览器相关的企业中有很多的声音。在很多论坛也有不同的意见出现。首先我想说说今年，就是 2016 年的SSL 证书的市场份额。

首先全球排名前一千万的网站中，有30.7%是没有使用 SSL 证书的，也就是所谓的普通的 http 非加密网站，有44.9%是无效域名，证书过期的有0.9%。
在有效的，并且是有正当的 Certificate Authorities (CA) 所签发的证书，其 CA 的市场份额排名如下。
CA --- 占 SSL CA 市场份额
Comodo --- 40.3%
Symantec Group --- 21.9%
IdenTrust --- 13.2%
GoDaddy Group --- 10.3%
GlobalSign --- 6.8%
DigiCert --- 2.7%
StarCom --- 2.0%
Entrust --- 0.6%
Trustwave --- 0.4%
Unizeto --- 0.4%
Secom Trust --- 0.4%
Verizon --- 0.4%
后面还有很多市场份额 0.1% 的以及不到 0.1的 CA。

在最近一年内特别的 CA 就是 Let's Encrypt 它也有 0.1%的份额。
请特别注意，这里的排名以及份额其统计范畴是根据 Alexa 的全球排名前一千万的网站来做出的，取其3个月平均排名。
其资料来源可以看这里

Wosign 就是沃通的证书，Chrome似乎早已没有沃通的根证书了，使用Wosign的证书，都是靠Chrome内置的 StartCom 根证书来获得信任的。比如这个一号店的证书就是这样。

而目前在 Firefox 内，沃通的根证书还是内置的。有些人为了撤销浏览器中内置的 WoSign 根证书，就一起撤销了StartCom 的证书，因为 StartCom 是签了沃通的证书，所以要撤就必须一起撤销，否则没有效果。

而实际上，最近已经知道沃通并购了StartCom，所以两家可以被认为是一家公司了，据 Mozilla 的报告，两家现在所用的后台也是一样的，就算不是同一个也是克隆的系统。

SSL 证书是基于信任而建立起来的， CA就是信任的基础，CA做事是要有规矩的，有节操的，像沃通这样的问题，其内部稽查机制有很大的问题，而实际的做法也是问题一大堆，从2015年初到最近，而其官方的解释也是漏洞百出，明显是在撒谎。就连两家公司合并这样的事情，也不按照 CA 行业的规矩来做。

最大的几个问题，或者说是不能容忍的问题是这几个：

• 给 SHA-1 证书倒签日期
• 错误签发 GitHub 证书
• 未正确的报告收购 StartCom

现在的情况

Mozilla公布了对沃通CA不当行为的13页调查报告，正式提议将停止信任WoSign和StartCom签发的新证书，最短期限为一年，一年之后如果WoSign和StartCom能满足条件Mozilla可以再次接纳它们。

报告的结论是这样：

• StartCom 使用了 WoSign's 架构系统 （同样的或者是克隆的）
• 此系统签发的证书之 notBefore 2015-12-20中国时间确认是倒签的，这进一步确认了对于澳门证书的怀疑
• StartCom 是由管理层主导，有组织的错签～WoSign Style（沃通模式）

以上最后一点很重要，现在在StartCom看到与沃通相同的操作手法。得出的结论是这两家公司（沃通和StartCom）的有相同的拥有者，组织架构，实际控制，所以Mozilla任何对于WoSign所采取的行动，会同样适用于StartCom，反之亦然。

更多的问题列表如下：

• 倒签SHA-1证书在WoSign是相当普通的操作，而他们一直不承认这样做。
• WoSign 建立了一个系统，申请者可以在证书签发前，加入额外的任意的域名。即使误签情况发生，他们也没有去追究更本原因。
• WoSign 有一个"先签发，后验证"的做法，在隔天验证时发现是错签的，会被撤销。
• WoSing 团队认为错签不值得被调查，简单的撤销证书就可以了。
• WoSign 的CPS 处理手法是倒过来的 - 一般是遵照CPS，如果有必要，先修改它。他们是修改实际操作，然后在被提醒的情况下才更新文档。
• 下面还有五条，就不翻译了。

Mozilla 的建议中有一年的期限，显然他们有倒签日期的做法，Mozilla 认为现在事情已经有过，有众多的人会关注这两家，如果再次被发现有新的倒签日期的证书，无论任何原因，会永久撤销其CA 根证书。

David Yin 的看法是，这件事情还没有结束，就算 Mozilla 的最后结论以及行动出来，也不会结束，毕竟还有很多未知的事情，比如为什麽 WoSign 要遮掩 并购 StartCom 这件事？倒签证书对谁最有利？其背后是否有政府行政力的介入？

就算 WoSign 的反应是：大不了只做中国的生意，但是Mozilla 认为其在中国的用户会降低对 CA 信任的要求，他们应该是同 Mozilla 在中国之外的用户有相同的要求。我也是这样认为，中国用户有权使用符合 CA 标准的证书，那些不符合此条件的 CA 不值得被信任。