韓國資安研究員踢爆：以色列StartSSL憑證主機竟在奇虎360中國機房

長期使用以色列StartSSL憑證服務的韓國資安研究員Pierre Kim，近日卻發現SSL主機從去年底偷偷變成了奇虎360中國機房內的伺服器。他上網公開了停用StartSSL改換成Let's Encrypt的過程，在知名技術論壇Hacker News引起開發者熱烈討論，連中國開發社群都高度關注。

Pierre Kim先前踢爆過多項漏洞，如Totolink旗下20款路由器有後門問題，或是華為多款舊型3G路由器中的安全漏洞。最近他發現，從去年12月後，以色列公司Startcom憑證服務StartSSL的網域IP位址，從原本位於以色列的192.116.242.27，轉為一個位於中國電信機房的IP位址104.192.110.222。

透過Whois查詢104.192.110.222時，Pierre Kim發現，此IP已在2014年被QIHU 360所擁有（即奇虎360），再搭配DNS查詢網站WhatsMyDNS比對，可查出StartSSL並非透過CDN服務來派送，因此，他認為，這個IP就是真實主機的IP，而且全球各地StartSSL服務的IP位址卻都指向奇虎360是擁有者。因此Pierre Kim推斷，StartSSL的PKI（Public Key Infrastructure）已經被奇虎360所掌握。因此，他決定停止使用StartSSL，轉為使用Let's Encrypt。

在去年12月時，Startcom官網的確對外宣布，2015年稍早已在中國深圳設立研發中心，除了擴展在中國的事業外，也用於提供中國當地服務，但是Startcom並未透露，會由中國機房來提供全球服務。

Pierre Kim認為，從官網聲明，雖然僅能看出Startcom去年的確在中國展開了業務擴張的行動。但他認為，除非StartSSL解釋清楚為何自家的PKI會交由奇虎360託管，否則應該開始停止使用StartSSL。而他也呼籲其他人使用Let's Encrypt。

擔心雲端主機在中國的人，不只是Pierre Kim這樣的韓國資安研究者而已，去年中國政府通過爭議頗大的反恐法之後，也引起歐美科技廠商的疑慮。因為反恐法除了要求ISP必須安裝後門程式外，伺服器加密儲存的金鑰也必須上繳中國政府，甚至連美國總統歐巴馬及美國國務院都表示嚴重關切，擔心反恐法除了限制言論自由、宗教自由外，也會對美中貿易關係帶來影響。