StartCom
StartCom 是一家位於以色列埃拉特的證書頒發機構,主要服務包括StartCom Linux Enterprise(Linux發行版),StartSSL(證書頒發)和MediaHost(網站託管)。StartCom在中國、香港、英國和西班牙開設有新的分支機構[2]。
StartCom Ltd. | |
---|---|
公司類型 | 私人公司 |
成立 | 1999年 |
創辦人 | Eddy Nigg[1] |
代表人物 | Iñigo Barreira(CEO),譚曉生(主席),楊卿 |
總部 | 中國北京 |
業務範圍 | 全球 |
產業 | 互聯網安全,公鑰基礎設施 |
所有權者 | 奇虎360集團 |
母公司 | StartCom CA Ltd.(英國),StartCom CA Ltd.(香港) |
網站 | www |
2016年,Mozilla在討論是否刪除沃通和StartCom根證書的調查中發現[3],位於中國深圳的沃通(WoSign)已經由幾個不同公司將StartCom秘密收購[a]。在Mozilla和蘋果[4][5]的制裁影響下,位於北京的沃通母公司奇虎360集團決定在2016年內重組這些公司,重組後的StartCom將從醜聞纏身的沃通分離,完全成為奇虎360的下屬公司[b][6]。
2017年11月16日,StartCom宣布終止業務,自2018年1月1日起停止頒發新證書,並於2020年停止OCSP和CRL服務[7][8][9]。
StartSSL
編輯StartCom提供免費的Class 1 X.509 SSL證書「StartSSL Free」,可用於網站服務器(SSL/TLS)和電子郵件加密(S/MIME)。StartCom還提供Class 2和3的證書,以及擴展驗證證書,需要複雜的驗證(收費)才能得到。
2011年6月,該公司遭受網絡攻擊,被迫暫停數字證書發放及相關服務數周[10]。攻擊者無法藉此機會頒發證書(在被攻擊的6家機構中,只有StartCom成功阻止攻擊者的頒發嘗試)[11]。
可信度
編輯StartSSL證書在以下環境中默認啟用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日後所有微軟操作系統[12][13],以及2010年7月27日後的Opera[14]。因為Google Chrome,Apple Safari和Internet Explorer使用操作系統的證書庫,所有主流瀏覽器都支持StartSSL證書。
2016年9月30日,在對沃通的調查期間,蘋果宣布旗下軟件不會接受2016年9月19日後由沃通CA簽發的證書,並會隨調查進展對WoSign/StartCom的信任錨採取進一步行動。
2016年10月24日,Mozilla在其安全博客上宣布,由於在對證書頒發機構沃通數個問題的調查中發現它收購了StartCom,而交易雙方並未披露此事[15],Mozilla將從Firefox 51開始,停止信任2016年10月21日後簽發的證書[16]。2016年9月1日,Google也宣布會從Chrome 56開始停止信任上述證書[17]。2016年9月30日,蘋果產品將阻止由沃通和StartCom根CA簽發,且生效日期在2016年12月1日00:00:00 GMT/UTC或其後的證書[18]。
2017年7月8日,Google 宣布將完全取消對沃通和 StartCom 所有證書的信任,包括過去簽發的證書。[19][20] 2017年7月11日,Firefox也準備完全取消對沃通, Startcom 和 CNNIC 的信任。[21]
StartSSL無限免費證書的限制
編輯儘管在特定用途下是免費且可無限簽發的,這些證書仍有一些限制,需付費升級才能解除:
- 3年的證書有效期
- 證書吊銷需付費
對Heartbleed的應對
編輯2014年4月13日,StartCom發布了[22]一個FAQ頁面[23],內容有關OpenSSL中的嚴重漏洞Heartbleed,後者據估計會使互聯網上17%的安全網頁服務器面臨數據失竊的風險。
StartCom的政策對吊銷一張證書收費25美元,並且拒絕對受Heartbleed影響的證書免除這筆費用,只有部分付費客戶可免費吊銷一張證書[24][25][26][27],這使得很多人對StartCom是否是合格的證書頒發機構產生懷疑[28]。對於已被證明不可信的證書,StartCom拒絕免費吊銷,而是在明知的情況下繼續提供信任[29]。
批評
編輯2016年8月,StartCom被中國證書機構沃通收購[30][31],對此事的最初披露文章因法律原因已被刪除[32],但相關轉發仍然存在。儘管具體關係不明,但在沃通被發現簽發約100張[33]不當SSL證書時似乎已在使用StartCom的技術設施,這些不當證書中包括一張簽發給github.com的證書[34]。
參見
編輯腳註
編輯參考文獻
編輯- ^ Chirgwin, Richard. Heads roll as Qihoo 360 moves to end WoSign, StartCom certificate row. The Register. 2016-10-10 [2016-12-10]. (原始內容存檔於2016-12-20) (英語).
- ^ About StartCom. The Register. Apr 26, 2016 [2016-06-07]. (原始內容存檔於2016-06-25) (英語).
- ^ Mozilla. WoSign and StartCom. 2016-10-10 [2016-10-25]. (原始內容存檔於2017-12-03) (英語).
- ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (IOS). 2016-09-30 [2017-02-25]. (原始內容存檔於2017-04-06) (英語).
- ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (MacOS). 2016-09-30 [2017-02-25]. (原始內容存檔於2017-01-30) (英語).
- ^ Qihoo 360 Group. StartCom Remediation Plan (PDF). 2016-10-14 [2016-10-25]. (原始內容 (PDF)存檔於2016-10-26) (英語).
- ^ StartSSL™ Certificates & Public Key Infrastructure. www.startcomca.com. [2017-11-17]. (原始內容存檔於2017-12-01) (英語).
- ^ Termination of the certificates business of Startcom (頁面存檔備份,存於網際網路檔案館), post in mozilla.dev.security.policy newsgroup
- ^ 國內證書頒發機構StartCom宣布將停止數字證書業務 (頁面存檔備份,存於網際網路檔案館),新浪科技
- ^ Web authentication authority suffers security breach. The Register. 2011-06-26 [2012-01-14]. (原始內容存檔於2012-01-04) (英語).
- ^ How StartCom Foiled Comodohacker: 4 Lessons. InformationWeek. 2011-09-08 [2012-12-20]. (原始內容存檔於2013-01-03) (英語).
- ^ Microsoft Adds Support for StartCom Certificates. StartCom.org. 2009-09-24 [2011-01-14]. (原始內容 (新聞稿)存檔於2011-07-17) (英語).
- ^ Microsoft updates trusted root certs to include StartCom. Sophos.com Naked Security blog. 2009-09-27 (英語).
- ^ New Roots, new EV, and a new Public Suffix file. Opera.com Rootstore blog. [2017-02-25]. (原始內容存檔於2010-08-01) (英語).
- ^ CA:WoSign Issues - MozillaWiki. [2016-10-25]. (原始內容存檔於2016-10-28) (英語).
- ^ Distrusting New WoSign and StartCom Certificates. 2016-10-24 [2016-10-25]. (原始內容存檔於2016-10-25) (英語).
- ^ Distrusting WoSign and StartCom Certificates. Google Online Security Blog. [2016-11-02]. (原始內容存檔於2016-11-01) (英語).
- ^ Lists of available trusted root certificates in iOS. Apple Support Web Site. [2016-12-01]. (原始內容存檔於2016-11-29) (英語).
- ^ Solidot | Google 将完全取消沃通和 StartCom 的信任. www.solidot.org. [2017-07-11]. (原始內容存檔於2017-07-12).
- ^ Google 网上论坛. groups.google.com. [2017-07-11]. (原始內容存檔於2013-05-23).
- ^ Solidot | 火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任. www.solidot.org. [2017-07-11]. (原始內容存檔於2017-07-22).
- ^ Twitter / startssl: We released a small FAQ page .... StartCom. 2014-04-13 [2017-02-25]. (原始內容存檔於2017-03-18) (英語).
- ^ Heartbleed F.A.Q.. StartCom. 2014-04-13 [2017-02-25]. (原始內容存檔於2016-03-07) (英語).
- ^ I use StartCom, and I revoked and re-keyed yesterday. In the revocation reason, ... Hacker News. Geoff. 2014-04-09 [2017-02-25]. (原始內容存檔於2016-12-03) (英語).
- ^ Twitter / codeawe: @tonylampada @startssl .... J. Breitsprecher. 2014-04-11 [2017-02-25]. (原始內容存檔於2014-04-14) (英語).
- ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). Jan. 2014-04-09 [2017-02-25]. (原始內容存檔於2016-04-04) (英語).
- ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). arnowelzel. 2014-04-10 [2017-02-25]. (原始內容存檔於2016-04-04) (英語).
- ^ Most StartSSL certs will stay compromised. 2014-04-09 [2017-02-25]. (原始內容存檔於2016-12-03) (英語).
- ^ StartSSL, please revoke me!. 2014-04-12 [2017-02-25]. (原始內容存檔於2014-04-12) (英語).
- ^ Thoughts and Observations: WoSign's secret purchase of StartCom; WoSign threatened legal actions over the disclosure. [2016-09-08]. (原始內容存檔於2016-09-05) (英語).
- ^ Thoughts and Observations: StartCom operated solely by WoSign in China - an analysis of the new StartCom website. [2016-09-08]. (原始內容存檔於2016-09-07) (英語).
- ^ Can you trust them?. www.letsphish.org. [2017-02-25]. (原始內容存檔於2016-09-01) (英語).
- ^ Google 网上论坛. groups.google.com. [2017-02-25]. (原始內容存檔於2017-02-25) (英語).
- ^ The story of how WoSign gave me an SSL certificate for GitHub.com. [2017-02-25]. (原始內容存檔於2017-03-17) (英語).