- 論壇徽章:
- 2
|
沃通 呵呵. 現(xiàn)在chrome和firefox都對(duì)其采取不信任的措施,還不是自己找的
收購(gòu)了StartCom,還把StartCom給搞臭了
看https://wiki.mozilla.org/CA:WoSign_Issues里面介紹的這樣,還有誰(shuí)會(huì)去用
問(wèn)題1
沃通 CA 允許證書(shū)申請(qǐng)者選擇任意端口進(jìn)行驗(yàn)證����,違反了限制端口和路徑使用的規(guī)定���;
問(wèn)題2
證書(shū)申請(qǐng)者如果能證明控制了某個(gè)子域名�,那么就能獲得根域名的證書(shū)�����;
已經(jīng)研究人員利用沃通的這個(gè)失誤�,獲得了一張沃通簽發(fā)的【GitHub 網(wǎng)站主域名的證書(shū)】。
問(wèn)題3
被沃通并購(gòu)的 StartCom(也是一家 CA)�,被發(fā)現(xiàn)允許對(duì)證書(shū)的簽署日期進(jìn)行【倒填】。關(guān)于這個(gè)“倒填日期”的問(wèn)題��,俺稍微解釋一下:
由于如今的運(yùn)算能力越來(lái)越強(qiáng)�,SHA1 散列算法的可靠性越來(lái)越不夠了�����。一些主流的瀏覽器����,如果發(fā)現(xiàn)2016元旦之后簽署的 CA 證書(shū)����,依然采用 SHA1,會(huì)給出警告���。
沃通的問(wèn)題在于���,它為了幫證書(shū)申請(qǐng)人規(guī)避瀏覽器警告��,故意把簽署日期偽造成2015年底�。
問(wèn)題4
除了英國(guó)程序員曝光的那3個(gè)問(wèn)題�����,再來(lái)說(shuō)一下其他人曝光的問(wèn)題——
沃通在2015年4月9日到4月14日之間�,簽發(fā)了392個(gè)【相同序列號(hào)】的證書(shū)。
最近在zhe |
|
免費(fèi)注冊(cè)
發(fā)表于 2016-11-30 11:46
發(fā)表于 2016-11-30 17:23
