在Mozilla安全郵件列表上,開發(fā)者 Gervase Markham發(fā)帖稱,多起與沃通CA(WoSign)相關(guān)的事故引起了他們的注意,Mozilla正考慮是否對沃通CA采取行動。Markham談?wù)摿巳鹗鹿剩?015年4月23日左右,沃通CA允許免費(fèi)證書申請者選擇任意端口驗(yàn)證,違反了限制端口和路徑使用的規(guī)定;
2015年6月,免費(fèi)證書申請者發(fā)現(xiàn)如果他們能證明控制了子域名那么就能獲得基礎(chǔ)域名(Base Domain)的證書,如證明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了github.com、github.io和 www.github.io的證書;2016年7月,與沃通CA有關(guān)聯(lián)的StartCom CA被發(fā)現(xiàn)允許證書倒填日期,倒填日期能繞過瀏覽器對SHA-1算法的限制。Mozilla可能采取的行動包括吊銷沃通CA證書。沃通CA是中國最大的SSL證書發(fā)行商之一,它聲稱中國市場每3張SSL證書中就有1張由沃通CA簽發(fā),如果吊銷沃通CA證書,可能將會影響很多中國網(wǎng)站。