標籤彙整: StartCom

Mozilla 將封鎖中國認證機關發出的網站認證

幾天前 Mozilla 發表一份調查報告,指控中國認證機關 (Certificate Authority) WoSign 不誠實地發出網站認證 (certificate),嚴重破壞 TLS 賴以安全的加密和認證機制,建議屬下的 Firefox 瀏覽器開發團隊阻截所有由 WoSign 及其屬下公司,包括著名的認證機關 StartCom,所發出的認證。

該報告指出,WoSign 在過去九個月,故意把一些新發出的認證的日期推前,逃避了互聯網業界對 SHA-1 散列函式的禁制,這項禁制是由於 SHA-1 可受到衝突攻擊 (collision attack) 令黑客輕易製作一張虛假的網站認證,破壞了整個認證制度。部份 WoSign 的客戶基於種種原因,希望他們的認證仍然以 SHA-1 簽發,WoSign 於是在發出新認證的時候,把發出日期推到本年初之前,令瀏覽器以為這些是很久以前發出的認證,豁免了對他們施加 SHA-1 禁制。

該報告也指控 WoSign 不正當地隱瞞併購以色列認證機關 StartCom 的行動,而 StartCom 與 WoSign 一樣,曾經擅自改動新認證的發出日期,逃避瀏覽器對 SHA-1 的禁制。

所以,Mozilla 建議 Firefox 團隊阻截所有由 WoSign 及其屬下公司 (包括 StartCom) 發出的認證最少 12 個月。

從現在開始直到 Firefox 及其他瀏覽器發佈新版本(其實從九個月前已經開始),用戶將會暴露在虛假網站的威脅中,這些網站通過了 TLS 的認證機制,從任何角度看都是真卻無訛的網站,但其實是黑客利用 SHA-1 的安全漏洞來偽冒,他們之所以成功,都是拜 WoSign 和 StartCom 所賜。倘若不想等待 Firefox 的新版本,立即保障自己,可以在瀏覽器的設定畫面手動刪除所有 WoSign 和 StartCom 的根認證 (root certificate)。但是請注意,部分網站可能從此難以造訪 (造訪時會收到類似「網站認證失敗」的訊息,你必須告訴瀏覽器豁免認證檢查,才能繼續讀取網站的內容,例如 PHP 開發人員的熱門網站 phpclasses.org 便有這個問題。這的確很不便,但考慮到進入了偽冒網站而被騙去個人資料和財產的風險,我強烈建議大家這樣做。