StartCom 是一家位於以色列艾拉特的證書頒發機構,主要服務包括StartCom Linux Enterprise(Linux發行版),StartSSL(證書頒發)和MediaHost(網站寄存)。StartCom在中國、香港、英國和西班牙開設有新的分支機構[2]

StartCom Ltd.
公司類型私人公司
成立1999年,​25年前​(1999
創辦人Eddy Nigg[1]
代表人物Iñigo Barreira(CEO),譚曉生(主席),楊卿
總部中國北京
業務範圍全球
產業互聯網安全英語Internet security公鑰基礎設施
所有權者奇虎360集團
母公司StartCom CA Ltd.(英國),StartCom CA Ltd.(香港)
網站www.startcom.org

2016年,Mozilla在討論是否刪除沃通和StartCom根證書的調查中發現[3],位於中國深圳的沃通(WoSign)已經由幾個不同公司將StartCom秘密收購[a]。在Mozilla和蘋果[4][5]的制裁影響下,位於北京的沃通母公司奇虎360集團決定在2016年內重組這些公司,重組後的StartCom將從醜聞纏身的沃通分離,完全成為奇虎360的下屬公司[b][6]

2017年11月16日,StartCom宣佈終止業務,自2018年1月1日起停止頒發新證書,並於2020年停止OCSPCRL服務[7][8][9]

StartSSL

編輯

StartCom提供免費的Class 1 X.509 SSL證書「StartSSL Free」,可用於網站伺服器(SSL/TLS)和電子郵件加密英語E-mail encryptionS/MIME)。StartCom還提供Class 2和3的證書,以及擴充驗證證書,需要複雜的驗證(收費)才能得到。

2011年6月,該公司遭受網絡攻擊,被迫暫停數碼證書發放及相關服務數周[10]。攻擊者無法藉此機會頒發證書(在被攻擊的6家機構中,只有StartCom成功阻止攻擊者的頒發嘗試)[11]

可信度

編輯

StartSSL證書在以下環境中預設啟用:Mozilla Firefox 2.x或更高版本,Apple Mac OS X 10.5 (Leopard)或更高版本,2009年9月24日後所有微軟作業系統[12][13],以及2010年7月27日後的Opera[14]。因為Google ChromeApple SafariInternet Explorer使用作業系統的證書庫,所有主流瀏覽器都支援StartSSL證書。

2016年9月30日,在對沃通的調查期間,蘋果宣佈旗下軟件不會接受2016年9月19日後由沃通CA簽發的證書,並會隨調查進展對WoSign/StartCom的信任錨採取進一步行動。

2016年10月24日,Mozilla在其安全網誌上宣佈,由於在對證書頒發機構沃通數個問題的調查中發現它收購了StartCom,而交易雙方並未披露此事[15],Mozilla將從Firefox 51開始,停止信任2016年10月21日後簽發的證書[16]。2016年9月1日,Google也宣佈會從Chrome 56開始停止信任上述證書[17]。2016年9月30日,蘋果產品將阻止由沃通和StartCom根CA簽發,且生效日期在2016年12月1日00:00:00 GMT/UTC或其後的證書[18]

2017年7月8日,Google 宣佈將完全取消對沃通和 StartCom 所有證書的信任,包括過去簽發的證書。[19][20] 2017年7月11日,Firefox也準備完全取消對沃通, Startcom 和 CNNIC 的信任。[21]

StartSSL無限免費證書的限制

編輯

儘管在特定用途下是免費且可無限簽發的,這些證書仍有一些限制,需付費升級才能解除:

  • 3年的證書有效期
  • 證書吊銷需付費

對Heartbleed的應對

編輯

2014年4月13日,StartCom發佈了[22]一個FAQ頁面[23],內容有關OpenSSL中的嚴重漏洞Heartbleed,後者據估計會使互聯網上17%的安全網頁伺服器面臨數據失竊的風險。

StartCom的政策對吊銷一張證書收費25美元,並且拒絕對受Heartbleed影響的證書免除這筆費用,只有部分付費客戶可免費吊銷一張證書[24][25][26][27],這使得很多人對StartCom是否是合格的證書頒發機構產生懷疑[28]。對於已被證明不可信的證書,StartCom拒絕免費吊銷,而是在明知的情況下繼續提供信任[29]

批評

編輯

2016年8月,StartCom被中國證書機構沃通收購[30][31],對此事的最初披露文章因法律原因已被刪除[32],但相關轉發仍然存在。儘管具體關係不明,但在沃通被發現簽發約100張[33]不當SSL證書時似乎已在使用StartCom的技術設施,這些不當證書中包括一張簽發給github.com的證書[34]

參見

編輯

註腳

編輯
  1. ^ 2016年10月的架構:WoSign CA Limited Hong-Kong → StartCom CA Limited(香港)→ StartCom CA Limited(英國)
  2. ^ 2016年10月時的計劃架構,2016年底前實施:奇虎360公司鏈 → 奇飛國際發展有限公司(香港) → StartCom CA Ltd. (香港),StartCom CA香港完全持有StartCom(瑞士)和StartCom CA Ltd.(英國),後者依次持有StartCom Ltd.(以色列)和StartCom CA Ltd.(西班牙)

參考文獻

編輯
  1. ^ Chirgwin, Richard. Heads roll as Qihoo 360 moves to end WoSign, StartCom certificate row. The Register. 2016-10-10 [2016-12-10]. (原始內容存檔於2016-12-20) (英語). 
  2. ^ About StartCom. The Register. Apr 26, 2016 [2016-06-07]. (原始內容存檔於2016-06-25) (英語). 
  3. ^ Mozilla. WoSign and StartCom. 2016-10-10 [2016-10-25]. (原始內容存檔於2017-12-03) (英語). 
  4. ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (IOS). 2016-09-30 [2017-02-25]. (原始內容存檔於2017-04-06) (英語). 
  5. ^ apple. Blocking Trust for WoSign CA Free SSL Certificate G2 (MacOS). 2016-09-30 [2017-02-25]. (原始內容存檔於2017-01-30) (英語). 
  6. ^ Qihoo 360 Group. StartCom Remediation Plan (PDF). 2016-10-14 [2016-10-25]. (原始內容 (PDF)存檔於2016-10-26) (英語). 
  7. ^ StartSSL™ Certificates & Public Key Infrastructure. www.startcomca.com. [2017-11-17]. (原始內容存檔於2017-12-01) (英語). 
  8. ^ Termination of the certificates business of Startcom頁面存檔備份,存於互聯網檔案館), post in mozilla.dev.security.policy newsgroup
  9. ^ 國內證書頒發機構StartCom宣佈將停止數碼證書業務頁面存檔備份,存於互聯網檔案館),新浪科技
  10. ^ Web authentication authority suffers security breach. The Register. 2011-06-26 [2012-01-14]. (原始內容存檔於2012-01-04) (英語). 
  11. ^ How StartCom Foiled Comodohacker: 4 Lessons. InformationWeek英語InformationWeek. 2011-09-08 [2012-12-20]. (原始內容存檔於2013-01-03) (英語). 
  12. ^ Microsoft Adds Support for StartCom Certificates. StartCom.org. 2009-09-24 [2011-01-14]. (原始內容 (新聞稿)存檔於2011-07-17) (英語). 
  13. ^ Microsoft updates trusted root certs to include StartCom. Sophos.com Naked Security blog. 2009-09-27 (英語). 
  14. ^ New Roots, new EV, and a new Public Suffix file. Opera.com Rootstore blog. [2017-02-25]. (原始內容存檔於2010-08-01) (英語). 
  15. ^ CA:WoSign Issues - MozillaWiki. [2016-10-25]. (原始內容存檔於2016-10-28) (英語). 
  16. ^ Distrusting New WoSign and StartCom Certificates. 2016-10-24 [2016-10-25]. (原始內容存檔於2016-10-25) (英語). 
  17. ^ Distrusting WoSign and StartCom Certificates. Google Online Security Blog. [2016-11-02]. (原始內容存檔於2016-11-01) (英語). 
  18. ^ Lists of available trusted root certificates in iOS. Apple Support Web Site. [2016-12-01]. (原始內容存檔於2016-11-29) (英語). 
  19. ^ Solidot | Google 将完全取消沃通和 StartCom 的信任. www.solidot.org. [2017-07-11]. (原始內容存檔於2017-07-12). 
  20. ^ Google 网上论坛. groups.google.com. [2017-07-11]. (原始內容存檔於2013-05-23). 
  21. ^ Solidot | 火狐准备完全取消对沃通、Startcom 和 CNNIC 的信任. www.solidot.org. [2017-07-11]. (原始內容存檔於2017-07-22). 
  22. ^ Twitter / startssl: We released a small FAQ page .... StartCom. 2014-04-13 [2017-02-25]. (原始內容存檔於2017-03-18) (英語). 
  23. ^ Heartbleed F.A.Q.. StartCom. 2014-04-13 [2017-02-25]. (原始內容存檔於2016-03-07) (英語). 
  24. ^ I use StartCom, and I revoked and re-keyed yesterday. In the revocation reason, ... Hacker News. Geoff. 2014-04-09 [2017-02-25]. (原始內容存檔於2016-12-03) (英語). 
  25. ^ Twitter / codeawe: @tonylampada @startssl .... J. Breitsprecher. 2014-04-11 [2017-02-25]. (原始內容存檔於2014-04-14) (英語). 
  26. ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). Jan. 2014-04-09 [2017-02-25]. (原始內容存檔於2016-04-04) (英語). 
  27. ^ Re: OpenSSL CVE-2014-0160 (aka "Heartbleed"). arnowelzel. 2014-04-10 [2017-02-25]. (原始內容存檔於2016-04-04) (英語). 
  28. ^ Most StartSSL certs will stay compromised. 2014-04-09 [2017-02-25]. (原始內容存檔於2016-12-03) (英語). 
  29. ^ StartSSL, please revoke me!. 2014-04-12 [2017-02-25]. (原始內容存檔於2014-04-12) (英語). 
  30. ^ Thoughts and Observations: WoSign's secret purchase of StartCom; WoSign threatened legal actions over the disclosure. [2016-09-08]. (原始內容存檔於2016-09-05) (英語). 
  31. ^ Thoughts and Observations: StartCom operated solely by WoSign in China - an analysis of the new StartCom website. [2016-09-08]. (原始內容存檔於2016-09-07) (英語). 
  32. ^ Can you trust them?. www.letsphish.org. [2017-02-25]. (原始內容存檔於2016-09-01) (英語). 
  33. ^ Google 网上论坛. groups.google.com. [2017-02-25]. (原始內容存檔於2017-02-25) (英語). 
  34. ^ The story of how WoSign gave me an SSL certificate for GitHub.com. [2017-02-25]. (原始內容存檔於2017-03-17) (英語). 

外部連結

編輯