聊聊 SSL 证书这件事

最近对于 StartCom 和 WoSign 的事情在 SSL 证书行业以及浏览器相关的企业中有很多的声音。在很多论坛也有不同的意见出现。首先我想说说今年,就是 2016 年的SSL 证书的市场份额。

首先全球排名前一千万的网站中,有30.7%是没有使用 SSL 证书的,也就是所谓的普通的 http 非加密网站,有44.9%是无效域名,证书过期的有0.9%。
在有效的,并且是有正当的 Certificate Authorities (CA) 所签发的证书,其 CA 的市场份额排名如下。
CA --- 占 SSL CA 市场份额
Comodo --- 40.3%
Symantec Group --- 21.9%
IdenTrust --- 13.2%
GoDaddy Group --- 10.3%
GlobalSign --- 6.8%
DigiCert --- 2.7%
StarCom --- 2.0%
Entrust --- 0.6%
Trustwave --- 0.4%
Unizeto --- 0.4%
Secom Trust --- 0.4%
Verizon --- 0.4%
后面还有很多市场份额 0.1% 的以及不到 0.1的 CA。

在最近一年内特别的 CA 就是 Let's Encrypt 它也有 0.1%的份额。
请特别注意,这里的排名以及份额其统计范畴是根据 Alexa 的全球排名前一千万的网站来做出的,取其3个月平均排名。
其资料来源可以看这里

Wosign 就是沃通的证书,Chrome似乎早已没有沃通的根证书了,使用Wosign的证书,都是靠Chrome内置的 StartCom 根证书来获得信任的。比如这个一号店的证书就是这样。

而目前在 Firefox 内,沃通的根证书还是内置的。有些人为了撤销浏览器中内置的 WoSign 根证书,就一起撤销了StartCom 的证书,因为 StartCom 是签了沃通的证书,所以要撤就必须一起撤销,否则没有效果。

而实际上,最近已经知道沃通并购了StartCom,所以两家可以被认为是一家公司了,据 Mozilla 的报告,两家现在所用的后台也是一样的,就算不是同一个也是克隆的系统。

SSL 证书是基于信任而建立起来的, CA就是信任的基础,CA做事是要有规矩的,有节操的,像沃通这样的问题,其内部稽查机制有很大的问题,而实际的做法也是问题一大堆,从2015年初到最近,而其官方的解释也是漏洞百出,明显是在撒谎。就连两家公司合并这样的事情,也不按照 CA 行业的规矩来做。

最大的几个问题,或者说是不能容忍的问题是这几个:

现在的情况

Mozilla公布了对沃通CA不当行为的13页调查报告,正式提议将停止信任WoSign和StartCom签发的新证书,最短期限为一年,一年之后如果WoSign和StartCom能满足条件Mozilla可以再次接纳它们。

报告的结论是这样:

以上最后一点很重要,现在在StartCom看到与沃通相同的操作手法。得出的结论是这两家公司(沃通和StartCom)的有相同的拥有者,组织架构,实际控制,所以Mozilla任何对于WoSign所采取的行动,会同样适用于StartCom,反之亦然。

更多的问题列表如下:

Mozilla 的建议中有一年的期限,显然他们有倒签日期的做法,Mozilla 认为现在事情已经有过,有众多的人会关注这两家,如果再次被发现有新的倒签日期的证书,无论任何原因,会永久撤销其CA 根证书。

David Yin 的看法是,这件事情还没有结束,就算 Mozilla 的最后结论以及行动出来,也不会结束,毕竟还有很多未知的事情,比如为什麽 WoSign 要遮掩 并购 StartCom 这件事?倒签证书对谁最有利?其背后是否有政府行政力的介入?

就算 WoSign 的反应是:大不了只做中国的生意,但是Mozilla 认为其在中国的用户会降低对 CA 信任的要求,他们应该是同 Mozilla 在中国之外的用户有相同的要求。我也是这样认为,中国用户有权使用符合 CA 标准的证书,那些不符合此条件的 CA 不值得被信任。