沃通與StartCom憑證信用破產，遭Mozilla自信賴名單中剔除

Mozilla本周宣布，在經過一連串的調查後， 決定將中國憑證業者沃通（WoSign）自憑證信賴名單中剔除， 為期至少一年。

Mozilla總計調查了14項有關WoSign與StartCom在頒發憑證（CA）時所發生的意外事件， 結論直指WoSign故意違反規定， 因此不再信賴該機構所頒發的憑證。

根據調查， WoSign早在去年的11月1日買下以色列的憑證機構Star tCom，取得百分之百的股份， 但並未公開揭露StartCom主導權的轉移， 且雖然StartCom號稱獨立營運， 卻已使用WoSign的憑證架構， 違反了Mozilla的CA憑證維護政策。

此外，WoSign還故意偽造憑證的頒發日期。 這是因為各家瀏覽器為確保安全已封鎖今年1月以後釋出的SHA- 1憑證， 然而Mozilla卻發現WoSign竄改今年頒發的SHA- 1憑證，將憑證頒發日期改至去年。

至於WoSign的免費憑證服務亦包含兩大臭蟲， 一是當使用者證明了某個子網域的控制權時， WoSign憑證即可涵蓋主網域， 其次則是在驗證後還允許使用者新增任何的控制網域， 這也是為什麼WoSign在去年曾捅出一個大婁子— 把GitHub的憑證發給了一名學生。

總之， Mozilla的CA團隊已對WoSign及StartCom的能力失去信心，並決定未來Mozilla的產品都將不再信賴由WoSign或StartCom所頒發的新憑證，至少為期一年， 之後再看這兩家業者的表現來決定是否重新將它們納入信賴名單中。